JP7033733B2 - Data analyzers, methods, and programs - Google Patents

Data analyzers, methods, and programs Download PDF

Info

Publication number
JP7033733B2
JP7033733B2 JP2019509855A JP2019509855A JP7033733B2 JP 7033733 B2 JP7033733 B2 JP 7033733B2 JP 2019509855 A JP2019509855 A JP 2019509855A JP 2019509855 A JP2019509855 A JP 2019509855A JP 7033733 B2 JP7033733 B2 JP 7033733B2
Authority
JP
Japan
Prior art keywords
operation record
data
manufacturing
control command
record information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019509855A
Other languages
Japanese (ja)
Other versions
JPWO2018181253A1 (en
Inventor
博史 天野
陽介 多鹿
裕一 樋口
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Intellectual Property Management Co Ltd
Original Assignee
Panasonic Intellectual Property Management Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Intellectual Property Management Co Ltd filed Critical Panasonic Intellectual Property Management Co Ltd
Publication of JPWO2018181253A1 publication Critical patent/JPWO2018181253A1/en
Application granted granted Critical
Publication of JP7033733B2 publication Critical patent/JP7033733B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本開示は、コンピュータネットワーク上のデータの分析技術に関し、特に製造システムにおけるデータの分析技術に関する。 The present disclosure relates to a technique for analyzing data on a computer network, and particularly to a technique for analyzing data in a manufacturing system.

近年、インターネットなどの通信ネットワークを介して工場内外のモノやサービスと連携することで、生産性を向上したり、今までにない価値を生み出したり、新しいビジネスモデルを構築したりすることを目指した取り組みが活発に行われている。 In recent years, we have aimed to improve productivity, create unprecedented value, and build new business models by linking with goods and services inside and outside the factory via communication networks such as the Internet. Efforts are being actively carried out.

一方、インターネット空間では、ハッキングやマルウェアなどによるサイバー攻撃が活発化している。サイバー攻撃による不正侵入や情報漏えいなどの事例は年々増加しており、工場の製造システムにおいても、生産停止や設備破壊の事例が報告されている。このため、コンピュータネットワークを有する製造システムに生じた異常を検出することにより、製造システムのセキュリティレベルを向上することが必要である。 On the other hand, in the Internet space, cyber attacks by hacking and malware are becoming active. Cases of unauthorized intrusion and information leakage due to cyber attacks are increasing year by year, and cases of production suspension and equipment destruction have been reported in factory manufacturing systems. Therefore, it is necessary to improve the security level of the manufacturing system by detecting an abnormality that has occurred in the manufacturing system having a computer network.

例えば、特許文献1には、制御システムに対するセキュリティレベル向上の仕組みの例が記載されている。特許文献1のシステムは、複数の制御システムのそれぞれに対応する監視部から発信される異常通知を集計して、異常が疑われた制御システムのレピュテーションを評価する。評価結果から基準に照らして異常であると判定された場合には、異常が疑われた制御システムを稼働させている保護領域に対し、少なくともその保護領域内からのアウトバウンドのトラフィックを制限する。 For example, Patent Document 1 describes an example of a mechanism for improving the security level of a control system. The system of Patent Document 1 aggregates abnormality notifications transmitted from monitoring units corresponding to each of a plurality of control systems, and evaluates the reputation of the control system suspected of having an abnormality. If it is determined to be abnormal according to the evaluation results, the outbound traffic from at least the protected area is restricted to the protected area in which the control system suspected of being abnormal is operating.

また、工場における製造システムにおいては、各製造装置が、ネットワークを介して接続され、互いに通信を行いながら製造を行う。このようなネットワークにつながる製造装置が不正な操作等で乗っ取られたり、ネットワークを流れるデータが改ざんされた場合には、不良品が製造されたり、製造装置が破壊されてしまうことがある。これに対処するために、ネットワークのデータから不正な行為を検出する攻撃検出装置が、例えば特許文献2に記載されている。 Further, in a manufacturing system in a factory, each manufacturing apparatus is connected via a network and manufactures while communicating with each other. If the manufacturing equipment connected to such a network is hijacked by an unauthorized operation or the data flowing through the network is falsified, defective products may be manufactured or the manufacturing equipment may be destroyed. In order to deal with this, for example, Patent Document 2 describes an attack detection device that detects an illegal act from network data.

特開2012-168755号公報Japanese Unexamined Patent Publication No. 2012-168755 特開2016-19028号公報Japanese Unexamined Patent Publication No. 2016-19028

しかし、特許文献1に記載されているような、異常を検出するための仕組みを導入するためには、既存の製造システムを大幅に変更する必要がある。 However, in order to introduce a mechanism for detecting an abnormality as described in Patent Document 1, it is necessary to drastically change the existing manufacturing system.

特許文献2の攻撃検出装置では、通信に用いられるパケットのヘッダに格納されているウィンドウの情報のみから攻撃を検出しているので、必ずしも精度の高い攻撃検出ができるわけではない。また、パケットのヘッダに格納されているウィンドウの情報からは、製造システムに故障等が生じたことを、異常として検出することはできない。 Since the attack detection device of Patent Document 2 detects an attack only from the window information stored in the header of the packet used for communication, it is not always possible to detect the attack with high accuracy. Further, from the window information stored in the header of the packet, it cannot be detected as an abnormality that a failure or the like has occurred in the manufacturing system.

本開示は、既存の製造システムに大幅な改変を加えることなく、製造システムにおける異常を検出することを目的とする。 The present disclosure is intended to detect anomalies in a manufacturing system without significant modification to the existing manufacturing system.

本開示によるデータ分析装置は、製造装置と、前記製造装置を制御する製造制御装置と、を有する製造システムにおいて伝送されるデータを分析するデータ分析装置であって、前記製造制御装置と前記製造装置との間で伝送される第1パケットを受信する受信機と、受信された前記第1パケットのヘッダに含まれるIPアドレス及びポート番号から、受信された前記第1パケットのペイロードに含まれるデータの種類を求める解析器と、前記解析器で求められた前記データの種類に基づいて、前記データの種類に対応する構文又は規則を選択する選択器と、前記ペイロードに含まれるデータが、前記データの種類に対応する構文又は規則に従っていない場合に、前記製造システムに異常があると判定する判定器とを有する。 The data analysis device according to the present disclosure is a data analysis device that analyzes data transmitted in a manufacturing system having a manufacturing device, a manufacturing control device that controls the manufacturing device, and the manufacturing control device and the manufacturing device. From the receiver that receives the first packet transmitted to and from the received IP address and port number in the header of the first packet, the data included in the payload of the first packet received. An analyzer for determining the type, a selector for selecting a syntax or a rule corresponding to the type of data based on the type of data determined by the analyzer, and data contained in the payload of the data. It has a determination device for determining that there is an abnormality in the manufacturing system when the syntax or rules corresponding to the type are not followed.

これによると、製造システムにおける製造制御装置と製造装置との間で伝送されるパケットを受信し、その内容から製造システムに異常があることを判定することができる。受信されるパケットは、データ分析装置とは関係なく、製造システムにおいて通常用いられるパケットであるので、製造システムに異常があることを容易に知ることができる。 According to this, it is possible to receive a packet transmitted between the manufacturing control device and the manufacturing device in the manufacturing system and determine that there is an abnormality in the manufacturing system from the contents thereof. Since the received packet is a packet normally used in the manufacturing system regardless of the data analyzer, it can be easily known that there is an abnormality in the manufacturing system.

本開示によるデータ分析方法は、製造装置と、前記製造装置を制御する製造制御装置と、を有する製造システムにおいて伝送されるデータを分析するデータ分析方法であって、前記製造制御装置と前記製造装置との間で伝送されるパケットを受信することと、受信された前記パケットのヘッダに含まれるIPアドレス及びポート番号から、受信された前記パケットのペイロードに含まれるデータの種類を求めることと、求められた前記データの種類に基づいて、前記データの種類に対応する構文又は規則を選択することと、前記ペイロードに含まれるデータが、前記データの種類に対応する構文又は規則に従っていない場合に、前記製造システムに異常があると判定することとを有する。 The data analysis method according to the present disclosure is a data analysis method for analyzing data transmitted in a manufacturing system having a manufacturing apparatus and a manufacturing control apparatus for controlling the manufacturing apparatus, the manufacturing control apparatus and the manufacturing apparatus. To receive a packet transmitted to and from, and to obtain the type of data contained in the payload of the received packet from the IP address and port number included in the header of the received packet. Select the syntax or rule corresponding to the type of data based on the type of data given, and if the data contained in the payload does not follow the syntax or rule corresponding to the type of data. It has to determine that there is an abnormality in the manufacturing system.

本開示によるデータ分析プログラムは、製造装置と、前記製造装置を制御する製造制御装置と、を有する製造システムにおいて伝送されるデータを分析するデータ分析方法をコンピュータに実行させるデータ分析プログラムであって、前記データ分析方法は、前記製造制御装置と前記製造装置との間で伝送されるパケットを受信することと、受信された前記パケットのヘッダに含まれるIPアドレス及びポート番号から、受信された前記パケットのペイロードに含まれるデータの種類を求めることと、求められた前記データの種類に基づいて、前記データの種類に対応する構文又は規則を選択することと、前記ペイロードに含まれるデータが、前記データの種類に対応する構文又は規則に従っていない場合に、前記製造システムに異常があると判定することとを有する。 The data analysis program according to the present disclosure is a data analysis program for causing a computer to execute a data analysis method for analyzing data transmitted in a manufacturing system having a manufacturing apparatus and a manufacturing control apparatus for controlling the manufacturing apparatus. The data analysis method receives a packet transmitted between the manufacturing control device and the manufacturing device, and receives the packet from an IP address and a port number included in the header of the received packet. The type of data contained in the payload is determined, the syntax or rule corresponding to the type of data is selected based on the obtained type of data, and the data contained in the payload is the data. If the syntax or rules corresponding to the types of the above are not followed, it is determined that there is an abnormality in the manufacturing system.

本開示によれば、既存の製造システムに大幅な改変を加えることなく、製造システムにおける異常を検出することができる。したがって、製造システム外部からの攻撃や、製造システム内部の故障等を低コストで検出することができる。 According to the present disclosure, anomalies in a manufacturing system can be detected without making major modifications to an existing manufacturing system. Therefore, it is possible to detect an attack from the outside of the manufacturing system, a failure inside the manufacturing system, or the like at low cost.

図1は、本発明の実施形態に係るデータ分析装置を含む製造システムの構成例を示すブロック図である。FIG. 1 is a block diagram showing a configuration example of a manufacturing system including a data analyzer according to an embodiment of the present invention. 図2は、図1のネットワークを流れるパケットの構成例を示す図である。FIG. 2 is a diagram showing a configuration example of a packet flowing through the network of FIG. 1. 図3は、IPパケットのフォーマットの例を示す図である。FIG. 3 is a diagram showing an example of an IP packet format. 図4は、TCPパケットのフォーマットの例を示す図である。FIG. 4 is a diagram showing an example of a TCP packet format. 図5は、UDPパケットのフォーマットの例を示す図である。FIG. 5 is a diagram showing an example of a UDP packet format. 図6は、図1の製造システムにおいて、パケットのヘッダに含まれるIPアドレス等の組合せとパケットのペイロードに含まれるデータの種類との対応関係の例を示す図である。FIG. 6 is a diagram showing an example of the correspondence between the combination of IP addresses and the like included in the header of the packet and the type of data included in the payload of the packet in the manufacturing system of FIG. 図7は、図1の製造装置の状態遷移の例を示す状態遷移図である。FIG. 7 is a state transition diagram showing an example of the state transition of the manufacturing apparatus of FIG. 図8は、制御コマンドのフォーマットの例を示す図である。FIG. 8 is a diagram showing an example of a control command format. 図9は、制御コマンドの構文の例を示す図である。FIG. 9 is a diagram showing an example of the syntax of the control command. 図10は、稼働実績通知のフォーマットの例を示す図である。FIG. 10 is a diagram showing an example of the format of the operation record notification. 図11は、稼働実績通知の構文の例を示す図である。FIG. 11 is a diagram showing an example of the syntax of the operation record notification. 図12は、図1のデータ分析装置の構成例を示すブロック図である。FIG. 12 is a block diagram showing a configuration example of the data analysis device of FIG. 図13は、図1のデータ分析装置の動作の例を示すフローチャートである。FIG. 13 is a flowchart showing an example of the operation of the data analyzer of FIG. 図14は、図13のフローチャートの変形例を示すフローチャートである。FIG. 14 is a flowchart showing a modified example of the flowchart of FIG. 図15は、正常時の制御コマンドの順序の例を示す図である。FIG. 15 is a diagram showing an example of the order of control commands in the normal state. 図16は、異常時の制御コマンドの順序の例を示す図である。FIG. 16 is a diagram showing an example of the order of control commands at the time of abnormality. 図17は、図13のフローチャートの更なる変形例を示すフローチャートである。FIG. 17 is a flowchart showing a further modification of the flowchart of FIG. 図18は、正常時の稼働実績情報の順序の例を示す図である。FIG. 18 is a diagram showing an example of the order of the operation record information in the normal state. 図19は、異常時の稼働実績情報の順序の例を示す図である。FIG. 19 is a diagram showing an example of the order of operation record information at the time of abnormality. 図20は、図13のフローチャートの更なる変形例を示すフローチャートである。FIG. 20 is a flowchart showing a further modification of the flowchart of FIG. 図21は、製造装置の状態遷移図であって、各状態から次の状態への遷移確率が示されている。FIG. 21 is a state transition diagram of the manufacturing apparatus, showing the transition probability from each state to the next state. 図22は、正常時における製造装置の状態遷移の確率に関する規則の例を示す図である。FIG. 22 is a diagram showing an example of a rule regarding the probability of state transition of the manufacturing apparatus in the normal state. 図23は、異常時における制御コマンドの実際の発生確率に関する情報の例を示す図である。FIG. 23 is a diagram showing an example of information regarding the actual occurrence probability of the control command at the time of abnormality. 図24は、異常時における稼働実績情報の実際の発生確率に関する情報の例を示す図である。FIG. 24 is a diagram showing an example of information regarding the actual occurrence probability of the operation record information at the time of abnormality. 図25は、異常時における製造装置の状態遷移の実際の発生確率に関する情報の例を示す図である。FIG. 25 is a diagram showing an example of information regarding the actual occurrence probability of the state transition of the manufacturing apparatus at the time of abnormality. 図26は、正常時における次のコマンドの発生確率に関する規則の例を示す図である。FIG. 26 is a diagram showing an example of a rule regarding the probability of occurrence of the next command in the normal state. 図27は、正常時における次の稼働実績情報の発生確率に関する規則の例を示す図である。FIG. 27 is a diagram showing an example of a rule regarding the probability of occurrence of the next operation record information in a normal state. 図28は、図13のフローチャートの更なる変形例を示すフローチャートである。FIG. 28 is a flowchart showing a further modification of the flowchart of FIG. 図29は、製造装置の状態遷移図であって、各状態になってから次の状態になるまでの時間が示されている。FIG. 29 is a state transition diagram of the manufacturing apparatus, showing the time from each state to the next state. 図30は、正常時における製造装置の状態遷移に要する時間に関する規則の例を示す図である。FIG. 30 is a diagram showing an example of a rule regarding the time required for the state transition of the manufacturing apparatus in the normal state. 図31は、異常時における制御コマンドの出力までの実際の時間に関する情報の例を示す図である。FIG. 31 is a diagram showing an example of information regarding the actual time until the output of the control command at the time of abnormality. 図32は、異常時における稼働実績情報の出力までの実際の時間に関する情報の例を示す図である。FIG. 32 is a diagram showing an example of information regarding the actual time until the output of the operation record information at the time of abnormality. 図33は、異常時における製造装置の状態遷移に要する実際の時間に関する情報の例を示す図である。FIG. 33 is a diagram showing an example of information regarding the actual time required for the state transition of the manufacturing apparatus at the time of abnormality. 図34は、正常時における次のコマンドの出力までの時間に関する規則の例を示す図である。FIG. 34 is a diagram showing an example of a rule regarding the time until the output of the next command in the normal state. 図35は、正常時における次の稼働実績情報の出力までの時間に関する規則の例を示す図である。FIG. 35 is a diagram showing an example of a rule regarding the time until the output of the next operation record information in the normal state. 図36は、本発明の実施形態に係るデータ分析装置を実現するコンピュータシステムの構成例を示すブロック図である。FIG. 36 is a block diagram showing a configuration example of a computer system that realizes the data analysis device according to the embodiment of the present invention.

以下、本発明の実施の形態について、図面を参照しながら説明する。図面において同じ参照番号で示された構成要素は、同一の又は類似の構成要素である。 Hereinafter, embodiments of the present invention will be described with reference to the drawings. The components indicated by the same reference numbers in the drawings are the same or similar components.

図1は、本発明の実施形態に係るデータ分析装置を含む製造システムの構成例を示すブロック図である。図1の製造システム100は、ネットワーク2と、製造制御装置10と、製造装置22,24と、データ分析装置30とを有する。製造制御装置10、製造装置22,24、及びデータ分析装置30は、ネットワーク2で接続されている。 FIG. 1 is a block diagram showing a configuration example of a manufacturing system including a data analyzer according to an embodiment of the present invention. The manufacturing system 100 of FIG. 1 includes a network 2, a manufacturing control device 10, manufacturing devices 22 and 24, and a data analysis device 30. The manufacturing control device 10, the manufacturing devices 22, 24, and the data analysis device 30 are connected by a network 2.

製造制御装置10は、製造システム100全体の制御を行う。製造制御装置10は、例えば、制御コマンドや製造のためのデータを製造装置22,24に送信し、製造装置22,24は、例えば、自身の状態等を稼働実績情報として製造制御装置10に送信する。製造装置22,24のそれぞれは、製品を製造するための少なくとも1つの工程を行う装置である。製造システム100は、より多くの製造装置を有していてもよく、1つの製造装置のみを有していてもよい。 The manufacturing control device 10 controls the entire manufacturing system 100. The manufacturing control device 10 transmits, for example, control commands and data for manufacturing to the manufacturing devices 22 and 24, and the manufacturing devices 22 and 24 transmit, for example, their own state and the like to the manufacturing control device 10 as operation record information. do. Each of the manufacturing devices 22 and 24 is a device that performs at least one step for manufacturing a product. The manufacturing system 100 may have more manufacturing equipment or may have only one manufacturing equipment.

ネットワーク2は、例えばLAN(local area network)であり、有線ネットワークであってもよいし、無線ネットワークであってもよい。ネットワーク2は、インターネットに接続されていてもよい。データ分析装置30は、ネットワーク2に流れるデータ、特に製造制御装置10と製造装置22又は24との間で送受信されるデータを受信することができるように、ネットワーク2に接続される。例えば、ネットワーク2は、製造システム100の構成要素である製造制御装置10、製造装置22及び24、並びにデータ分析装置30の間で送受信されるデータが、これらのいずれの構成要素でも受信できるように構成されていてもよいし、データ分析装置30が、ネットワーク2で用いられるルータのミラーポートに接続されていてもよい。図1において、各構成要素の下に記載された数字は、その構成要素に割り当てられたIP(internet protocol)アドレスの例を示す。 The network 2 is, for example, a LAN (local area network), and may be a wired network or a wireless network. The network 2 may be connected to the Internet. The data analysis device 30 is connected to the network 2 so that it can receive data flowing through the network 2, particularly data transmitted and received between the manufacturing control device 10 and the manufacturing device 22 or 24. For example, the network 2 allows data transmitted and received between the manufacturing control device 10, the manufacturing devices 22 and 24, and the data analysis device 30, which are the components of the manufacturing system 100, to be received by any of these components. It may be configured, or the data analyzer 30 may be connected to the mirror port of the router used in the network 2. In FIG. 1, the numbers below each component indicate an example of an IP (internet protocol) address assigned to that component.

図2は、図1のネットワーク2を流れるパケット(フレームとも呼ばれる)の構成例を示す図である。図3は、IPパケットのフォーマットの例を示す図である。IPパケットは、図2のパケットからイーサネット(登録商標)ヘッダを取り除いたものである。IPヘッダには、送信元IPアドレス及び宛先IPアドレスが含まれる。 FIG. 2 is a diagram showing a configuration example of a packet (also referred to as a frame) flowing through the network 2 of FIG. FIG. 3 is a diagram showing an example of an IP packet format. The IP packet is the packet of FIG. 2 with the Ethernet (registered trademark) header removed. The IP header contains a source IP address and a destination IP address.

図4は、TCP(transmission control protocol)パケットのフォーマットの例を示す図である。図5は、UDP(user datagram protocol)パケットのフォーマットの例を示す図である。TCPパケット又はUDPパケットは、IPパケットからIPヘッダを取り除いたものである。TCPヘッダ又はUDPヘッダには、送信元ポート番号及び宛先ポート番号が含まれる。 FIG. 4 is a diagram showing an example of a TCP (transmission control protocol) packet format. FIG. 5 is a diagram showing an example of a UDP (user datagram protocol) packet format. A TCP packet or UDP packet is an IP packet from which an IP header has been removed. The TCP header or UDP header contains a source port number and a destination port number.

図6は、図1の製造システム100において、パケットのヘッダに含まれるIPアドレス等の組合せとパケットのペイロードに含まれるデータの種類との対応関係の例を示す図である。図6において、例えば、送信元IPアドレス192.168.10.1、宛先IPアドレス192.168.10.10、及び宛先ポート番号10000という組合せAには、ペイロードのデータの種類として制御コマンドが対応するということを示している。このとき、送信元ポート番号はどのような値であってもよい。これを図1に即して説明すると、製造制御装置10から製造装置22のポート番号10000へのパケットは、ペイロードに制御コマンドを含んでいる、ということがわかる。 FIG. 6 is a diagram showing an example of the correspondence between the combination of IP addresses and the like included in the header of the packet and the type of data included in the payload of the packet in the manufacturing system 100 of FIG. In FIG. 6, for example, the combination A of the source IP address 192.168.10.1, the destination IP address 192.168.10.10, and the destination port number 10000 is shown to correspond to the control command as the data type of the payload. At this time, the source port number may have any value. Explaining this with reference to FIG. 1, it can be seen that the packet from the manufacturing control device 10 to the port number 10000 of the manufacturing device 22 contains a control command in the payload.

また、例えば、送信元IPアドレス192.168.10.10、送信元ポート番号20000、及び宛先IPアドレス192.168.10.1という組合せBには、ペイロードのデータの種類として稼働実績通知が対応するということを示している。このとき、宛先ポート番号はどのような値であってもよい。これを図1に即して説明すると、製造装置22のポート番号20000から製造制御装置10へのパケットは、ペイロードに稼働実績通知を含んでいる、ということがわかる。 Further, for example, it is shown that the combination B of the source IP address 192.168.10.10, the source port number 20000, and the destination IP address 192.168.10.1 corresponds to the operation record notification as the data type of the payload. At this time, the destination port number may have any value. Explaining this in accordance with FIG. 1, it can be seen that the packet from the port number 20000 of the manufacturing apparatus 22 to the manufacturing control apparatus 10 includes the operation record notification in the payload.

図7は、図1の製造装置22の状態遷移の例を示す状態遷移図である。ここでは、製造装置22は、例えば、プリント基板に電子部品を実装する装置であるとする。製造装置22は、制御コマンドを製造制御装置10からパケットによって受信する。製造装置22の状態は、制御コマンドの受信又は制御コマンドで指示された動作の終了に従って、図7のように、待機状態、基板搬入状態、基板実装状態、基板搬出状態の順で遷移する。製造装置22は、その状態が遷移する際等に、稼働実績通知を製造制御装置10へパケットによって送信する。製造装置24も、製造装置22と同様に構成されている。 FIG. 7 is a state transition diagram showing an example of the state transition of the manufacturing apparatus 22 of FIG. Here, it is assumed that the manufacturing apparatus 22 is, for example, an apparatus for mounting electronic components on a printed circuit board. The manufacturing apparatus 22 receives a control command from the manufacturing control apparatus 10 by a packet. The state of the manufacturing apparatus 22 transitions in the order of the standby state, the board loading state, the board mounting state, and the board unloading state, as shown in FIG. 7, according to the reception of the control command or the end of the operation instructed by the control command. The manufacturing apparatus 22 transmits an operation record notification to the manufacturing control apparatus 10 by a packet when the state changes. The manufacturing apparatus 24 is also configured in the same manner as the manufacturing apparatus 22.

図8は、制御コマンドのフォーマットの例を示す図である。制御コマンドは、制御コマンド番号フィールドと、制御パラメータフィールドとを有する。図9は、制御コマンドの構文の例を示す図である。図9に示されているように、例えば、制御コマンド番号は、0,1,2又は3でなければならない。例えば、制御コマンド番号が0である場合には、制御パラメータは0,1,2又は3でなければならない。例えば、制御コマンド番号が1,2又は3である場合には、制御パラメータは0又は1でなければならない。このような、制御コマンドの各フィールドが取り得る値に関する規定を、制御コマンドの構文と称する。 FIG. 8 is a diagram showing an example of a control command format. The control command has a control command number field and a control parameter field. FIG. 9 is a diagram showing an example of the syntax of the control command. As shown in FIG. 9, for example, the control command number must be 0, 1, 2, or 3. For example, if the control command number is 0, the control parameters must be 0, 1, 2, or 3. For example, if the control command number is 1, 2, or 3, the control parameter must be 0 or 1. Such a rule regarding the possible values of each field of the control command is referred to as a control command syntax.

なお、制御コマンドは、チェックサムや、メッセージ認証コード(MAC:message authentication code)を格納するフィールドを有していてもよい。チェックサムやMACについても、取り得る値に関する規定があり、そのような規定も、制御コマンドの構文に含まれる。 The control command may have a field for storing a checksum and a message authentication code (MAC). There are also provisions for possible values for checksums and MACs, and such provisions are also included in the control command syntax.

図10は、稼働実績通知のフォーマットの例を示す図である。稼働実績通知は、稼働実績通知番号フィールドと、稼働実績情報フィールドと、基板番号フィールドとを有する。図11は、稼働実績通知の構文の例を示す図である。図11に示されているように、例えば、稼働実績通知番号は、0,1,2,3,4又は5でなければならない。例えば、稼働実績通知番号が0である場合には、稼働実績情報フィールドのビット20,19が表す数は、0,1,2又は3でなければならず、稼働実績情報フィールドのビット31-21が表す数は、0~1023の範囲内になければならない。基板番号は、基板を1枚生産する毎に0から1ずつカウントアップされる。ただし、32767の次は0にリセットされる。このため、基板番号は、0から32767の範囲内になければならない。このような、稼働実績通知の各フィールドが取り得る値に関する規定を、稼働実績通知の構文と称する。 FIG. 10 is a diagram showing an example of the format of the operation record notification. The operation record notification has an operation record notification number field, an operation record information field, and a board number field. FIG. 11 is a diagram showing an example of the syntax of the operation record notification. As shown in FIG. 11, for example, the operation record notification number must be 0, 1, 2, 3, 4 or 5. For example, when the operation record notification number is 0, the number represented by the operation record information field bits 20, 19 must be 0, 1, 2, or 3, and the operation record information field bit 31-21. The number represented by must be in the range 0-1023. The board number is counted up from 0 to 1 each time one board is produced. However, after 32767, it is reset to 0. Therefore, the substrate number must be in the range 0 to 32767. Such a rule regarding the values that can be taken by each field of the operation record notification is referred to as an operation record notification syntax.

なお、制御コマンド及び稼働実績通知は、バイナリデータで構成されていてもよいし、アスキー文字等の文字列で構成されていてもよい。製造制御装置10が、制御コマンドを例えば暗号鍵によって暗号化して送信し、製造装置22及び24、並びにデータ分析装置30が、暗号化された制御コマンドを復号化してもよい。製造装置22及び24が、稼働実績通知を例えば暗号鍵によって暗号化して送信し、製造制御装置10及びデータ分析装置30が、暗号化された稼働実績通知を復号化してもよい。 The control command and the operation record notification may be composed of binary data or a character string such as ASCII characters. The manufacturing control device 10 may transmit the control command encrypted by, for example, an encryption key, and the manufacturing devices 22 and 24 and the data analysis device 30 may decrypt the encrypted control command. The manufacturing devices 22 and 24 may transmit the operation record notification encrypted by, for example, an encryption key, and the manufacturing control device 10 and the data analysis device 30 may decrypt the encrypted operation record notification.

図12は、図1のデータ分析装置30の構成例を示すブロック図である。データ分析装置30は、送受信機32と、解析器34と、選択器36と、判定器38と、記憶装置42とを有する。 FIG. 12 is a block diagram showing a configuration example of the data analysis device 30 of FIG. The data analysis device 30 includes a transceiver 32, an analyzer 34, a selector 36, a determination device 38, and a storage device 42.

送受信機32は、製造制御装置10と製造装置22又は24との間で伝送されるパケットをネットワーク2から受信して解析器34に出力する。解析器34には、図6のような対応関係が予め格納されている。解析器34は、例えば図6の対応関係に基づいて、受信されたパケットのヘッダに含まれるIPアドレス及びポート番号から、受信されたパケットのペイロードに含まれるデータの種類を求め、選択器36に出力する。 The transceiver 32 receives the packet transmitted between the manufacturing control device 10 and the manufacturing device 22 or 24 from the network 2 and outputs the packet to the analyzer 34. The analyzer 34 stores the correspondence as shown in FIG. 6 in advance. The analyzer 34 obtains the type of data included in the payload of the received packet from the IP address and port number included in the header of the received packet, for example, based on the correspondence of FIG. 6, and causes the selector 36 to obtain the type of data. Output.

記憶装置42には、データの種類に対応する構文又は規則、例えば、制御コマンドの構文及び稼働実績通知の構文が、予め格納されている。選択器36は、解析器34で求められたデータの種類に対応する構文又は規則を、記憶装置42に格納されているデータから選択して読み出す。 The storage device 42 stores in advance a syntax or a rule corresponding to the type of data, for example, a syntax of a control command and a syntax of an operation record notification. The selector 36 selects and reads out the syntax or the rule corresponding to the type of data obtained by the analyzer 34 from the data stored in the storage device 42.

判定器38は、ペイロードに含まれるデータが、記憶装置42から読み出された、データの種類に対応する構文又は規則に従っていない場合に、製造システム100に異常があると判定し、判定結果をデータ分析装置30の外部に通知する。判定器38は、例えば、判定結果を送受信機32に出力し、送受信機32は、判定結果を含むパケットを生成して製造制御装置10に送信する。本明細書において、異常とは、製造システム100の外部からの攻撃により生じた異常のみならず、製造システム100内で生じた故障による異常をも含む。 The determination device 38 determines that the manufacturing system 100 has an abnormality when the data contained in the payload does not follow the syntax or rule corresponding to the data type read from the storage device 42, and determines the determination result as data. Notify the outside of the analyzer 30. For example, the determination device 38 outputs the determination result to the transceiver 32, and the transceiver 32 generates a packet including the determination result and transmits it to the manufacturing control device 10. In the present specification, the abnormality includes not only an abnormality caused by an attack from the outside of the manufacturing system 100 but also an abnormality caused by a failure in the manufacturing system 100.

図13は、図1のデータ分析装置30の動作の例を示すフローチャートである。ブロックB12において、図12の送受信機32は、ネットワーク2からパケットを受信し、そのイーサネットヘッダを取り除いて解析器34に出力する。ブロックB14において、解析器34は、予め格納している図6の対応関係に従って、入力されたパケットのIPアドレス及びポート番号から、そのパケットのペイロードのデータの種類を求める。解析器34は、その種類をパケットとともに選択器36に出力する。例えば、送信元IPアドレスが192.168.10.1、宛先IPアドレスが192.168.10.10、宛先ポート番号が10000である場合には、解析器34は、ペイロードのデータの種類が図8のような制御コマンドである、ということを求める。 FIG. 13 is a flowchart showing an example of the operation of the data analysis device 30 of FIG. In block B12, the transceiver 32 of FIG. 12 receives a packet from the network 2, removes its Ethernet header, and outputs the packet to the analyzer 34. In block B14, the analyzer 34 obtains the data type of the payload of the input packet from the IP address and the port number of the input packet according to the correspondence relationship of FIG. 6 stored in advance. The analyzer 34 outputs the type to the selector 36 together with the packet. For example, when the source IP address is 192.168.10.1, the destination IP address is 192.168.10.10, and the destination port number is 10000, the analyzer 34 is a control command in which the data type of the payload is as shown in FIG. , And ask for that.

ブロックB16において、選択器36は、解析器34で求められたデータの種類に対応する構文を、記憶装置42に格納されているデータから選択して読み出す。選択器36は、読み出された構文を入力されたパケットとともに判定器38に出力する。ペイロードのデータの種類が制御コマンドである場合には、図8及び図9のような情報が構文として読み出される。ブロックB18において、判定器38は、選択器36が読み出した構文に従って、入力されたパケットのペイロードを復号する。 In the block B16, the selector 36 selects and reads the syntax corresponding to the type of data obtained by the analyzer 34 from the data stored in the storage device 42. The selector 36 outputs the read syntax to the determination device 38 together with the input packet. When the data type of the payload is a control command, the information as shown in FIGS. 8 and 9 is read out as a syntax. In block B18, the determiner 38 decodes the payload of the input packet according to the syntax read by the selector 36.

ブロックB22において、判定器38は、復号されたペイロードのデータに構文違反があるか否かを判定する。図8のように、制御コマンドは、16ビットの制御コマンド番号フィールドと、16ビットの制御パラメータフィールドとを有する。これらの16ビットのフィールドは、0から65535までの整数を表すことができる。しかし、ペイロードのデータの種類が制御コマンドである場合には、図9に示されているように、制御コマンド番号フィールドの値は0から3までの整数でなければならない。そこで、制御コマンド番号フィールドの値が0から3までの整数以外である場合には、判定器38は、構文違反があると判定する。 In block B22, the determination device 38 determines whether or not the decrypted payload data has a syntax violation. As shown in FIG. 8, the control command has a 16-bit control command number field and a 16-bit control parameter field. These 16-bit fields can represent integers from 0 to 65535. However, if the payload data type is a control command, the value of the control command number field must be an integer from 0 to 3, as shown in FIG. Therefore, if the value of the control command number field is other than an integer from 0 to 3, the determination device 38 determines that there is a syntax violation.

また、図9に示されているように、制御コマンド番号フィールドの値が0である場合には、制御パラメータフィールドの値は0から3までの整数でなければならない。制御コマンド番号フィールドの値が1,2又は3である場合には、制御パラメータフィールドの値は0又は1でなければならない。そこで、制御コマンド番号フィールドの値が0であり、かつ、制御パラメータフィールドの値が0から3までの整数以外である場合には、判定器38は、構文違反があると判定する。更に、制御コマンド番号フィールドの値が1,2又は3であり、かつ、制御パラメータフィールドの値が0又は1以外である場合には、判定器38は、構文違反があると判定する。 Further, as shown in FIG. 9, when the value of the control command number field is 0, the value of the control parameter field must be an integer from 0 to 3. If the value of the control command number field is 1, 2, or 3, the value of the control parameter field must be 0 or 1. Therefore, if the value of the control command number field is 0 and the value of the control parameter field is other than an integer from 0 to 3, the determination device 38 determines that there is a syntax violation. Further, when the value of the control command number field is 1, 2, or 3, and the value of the control parameter field is other than 0 or 1, the determination device 38 determines that there is a syntax violation.

構文違反がある場合には、ブロックB24に進み、構文違反がない場合には、ブロックB26に進む。ブロックB24において、判定器38は、製造システム100に異常があると判定し、判定結果の通知を行う。判定器38は、例えば、送受信機32及びネットワーク2を経由して、製造制御装置10に判定結果を送信する。また、判定器38は、判定結果を表示器に表示させてもよい。ブロックB26において、判定器38は、製造システム100が正常であると判定する。ブロックB24又はB26が終了すると、1パケットの処理が終了する。その後、図13の処理は繰り返されてもよい。 If there is a syntax violation, the process proceeds to block B24, and if there is no syntax violation, the process proceeds to block B26. In the block B24, the determination device 38 determines that there is an abnormality in the manufacturing system 100, and notifies the determination result. The determination device 38 transmits the determination result to the manufacturing control device 10 via, for example, the transceiver 32 and the network 2. Further, the determination device 38 may display the determination result on the display. In block B26, the determination device 38 determines that the manufacturing system 100 is normal. When the block B24 or B26 ends, the processing of one packet ends. After that, the process of FIG. 13 may be repeated.

ペイロードのデータの種類が図10のような稼働実績通知である場合について説明する。例えば、送信元IPアドレスが192.168.10.10、送信元ポート番号が20000、宛先IPアドレスが192.168.10.1である場合には、ブロックB14において、解析器34は、ペイロードのデータの種類が稼働実績通知である、ということを図6の対応関係に従って求める。ペイロードのデータの種類が稼働実績通知である場合には、ブロックB16において、記憶装置42から、図10及び図11のような情報が構文として読み出される。 A case where the type of data of the payload is the operation record notification as shown in FIG. 10 will be described. For example, when the source IP address is 192.168.10.10, the source port number is 20000, and the destination IP address is 192.168.10.1, in block B14, the analyzer 34 uses the operation record notification as the payload data type. It is determined that there is, according to the correspondence relationship in FIG. When the data type of the payload is the operation record notification, the information as shown in FIGS. 10 and 11 is read out as a syntax from the storage device 42 in the block B16.

図10のように、稼働実績通知は、16ビットの稼働実績通知番号フィールドと、16ビットの稼働実績情報フィールドと、32ビットの基板番号フィールドとを有する。ペイロードのデータの種類が稼働実績通知である場合には、図11に示されているように、稼働実績通知番号フィールドの値は0から5までの整数でなければならない。そこで、稼働実績通知番号フィールドの値が0から5までの整数以外である場合には、ブロックB22において、判定器38は、構文違反があると判定する。 As shown in FIG. 10, the operation record notification has a 16-bit operation record notification number field, a 16-bit operation record information field, and a 32-bit board number field. When the data type of the payload is operation record notification, the value of the operation record notification number field must be an integer from 0 to 5, as shown in FIG. Therefore, when the value of the operation record notification number field is other than an integer from 0 to 5, in the block B22, the determination device 38 determines that there is a syntax violation.

各稼働実績通知番号について、稼働実績情報フィールドのビットフィールドの値は、図11に示されているような値でなければならない。そこで、稼働実績情報フィールドのビットフィールドの値が、図11に示されているような値ではない場合には、ブロックB22において、判定器38は、構文違反があると判定する。また、基板番号フィールドの値が0から32767までの整数以外である場合には、ブロックB22において、判定器38は、構文違反があると判定する。更に、1枚の基板の生産が完了したにもかかわらず、基板番号フィールドの値がカウントアップされなかった場合には、基板が盗難された等の可能性があるので、ブロックB22において、判定器38は、構文違反があると判定する。 For each operation record notification number, the value of the bit field of the operation record information field must be a value as shown in FIG. Therefore, when the value of the bit field of the operation record information field is not the value as shown in FIG. 11, in the block B22, the determination device 38 determines that there is a syntax violation. Further, when the value of the board number field is other than an integer from 0 to 32767, the determination device 38 determines in the block B22 that there is a syntax violation. Further, if the value in the board number field is not counted up even though the production of one board is completed, there is a possibility that the board has been stolen. Therefore, in the block B22, the judgment device is used. 38 determines that there is a syntax violation.

このように、図12のデータ分析装置30によると、製造システム100における製造制御装置10と製造装置22又は24との間で伝送されるパケットを受信し、その内容から製造システム100に異常があることを判定することができる。受信されるパケットは、データ分析装置30とは関係なく、製造システム100において通常用いられるパケットであるので、既存の製造システムに大幅な改変を加えることなく、製造システムにおける異常を検出することができる。したがって、製造システム外部からの攻撃や、製造システム内部の故障等を低コストで検出することができる。 As described above, according to the data analysis device 30 of FIG. 12, the packet transmitted between the manufacturing control device 10 and the manufacturing device 22 or 24 in the manufacturing system 100 is received, and the manufacturing system 100 has an abnormality from the contents thereof. It can be determined that. Since the received packet is a packet normally used in the manufacturing system 100 regardless of the data analyzer 30, it is possible to detect an abnormality in the manufacturing system without significantly modifying the existing manufacturing system. .. Therefore, it is possible to detect an attack from the outside of the manufacturing system, a failure inside the manufacturing system, or the like at low cost.

図14は、図13のフローチャートの変形例を示すフローチャートである。図14のフローチャートは、ブロックB16及びB22に代えて、ブロックB216及びB222をそれぞれ有する点が、図13のフローチャートとは異なっている。また、ブロックB24及びB26の後、処理はブロックB12に戻る。その他の点については、図13と同様であるので説明を省略する。 FIG. 14 is a flowchart showing a modified example of the flowchart of FIG. The flowchart of FIG. 14 is different from the flowchart of FIG. 13 in that it has blocks B216 and B 222 instead of blocks B 16 and B 22, respectively. Further, after the blocks B24 and B26, the processing returns to the block B12. Since other points are the same as those in FIG. 13, the description thereof will be omitted.

ブロックB216において、選択器36は、解析器34で求められたデータの種類に対応する構文及び規則を、記憶装置42に格納されているデータから選択して読み出す。選択器36は、読み出された構文及び規則を、入力されたパケットとともに判定器38に出力する。例えば、ペイロードのデータの種類が制御コマンドである場合には、図8のような情報が構文として読み出され、更に、制御コマンドの種類の順序が規則として読み出される。 In block B216, the selector 36 selects and reads the syntax and rules corresponding to the type of data obtained by the analyzer 34 from the data stored in the storage device 42. The selector 36 outputs the read syntax and rules to the determiner 38 together with the input packet. For example, when the data type of the payload is a control command, the information as shown in FIG. 8 is read as a syntax, and further, the order of the control command types is read as a rule.

図15は、正常時の制御コマンドの順序の例を示す図である。正常時には、図15のように、基板搬入コマンド(コマンド番号1)、基板実装コマンド(コマンド番号2)、基板搬出コマンド(コマンド番号3)が、この順序で繰り返される。ブロックB216では、このような順序が、規則として読み出される。 FIG. 15 is a diagram showing an example of the order of control commands in the normal state. At normal times, as shown in FIG. 15, the board carry-in command (command number 1), the board mounting command (command number 2), and the board carry-out command (command number 3) are repeated in this order. In block B216, such an order is read out as a rule.

ブロックB222において、判定器38は、復号されたペイロードに含まれるデータが示す情報の順序が規則に違反しているか否かを判定する。ここでは、判定器38は、制御コマンドの種類の順序が規則に違反しているか否かを判定する。 In block B222, the determiner 38 determines whether the order of the information indicated by the data contained in the decoded payload violates the rule. Here, the determination device 38 determines whether or not the order of the types of control commands violates the rules.

図16は、異常時の制御コマンドの順序の例を示す図である。図15のように、基板実装コマンドの制御コマンドは、基板搬出コマンドであるべきである。ところが、図16では、3番目の制御コマンドが、基板搬出コマンドであるべきところ、基板搬入コマンドとなっている。基板搬出が行われていないのにもかかわらず、基板搬入コマンドが与えられており、このコマンドを実行してしまうと、製造装置22等が故障してしまう可能性がある。そこで、図16の場合には、3番目の制御コマンドが入力されると、判定器38は、制御コマンドの種類の順序が規則に違反していると判定する。規則違反がある場合には、ブロックB24に進み、規則違反がない場合には、ブロックB26に進む。 FIG. 16 is a diagram showing an example of the order of control commands at the time of abnormality. As shown in FIG. 15, the control command of the board mounting command should be a board unloading command. However, in FIG. 16, the third control command is a board carry-in command instead of a board carry-out command. Even though the board has not been carried out, the board carry-in command has been given, and if this command is executed, the manufacturing apparatus 22 or the like may be damaged. Therefore, in the case of FIG. 16, when the third control command is input, the determination device 38 determines that the order of the types of control commands violates the rule. If there is a rule violation, the process proceeds to block B24, and if there is no rule violation, the process proceeds to block B26.

このように、記憶装置42に格納されているデータから選択して読み出される規則には、パケットのペイロードに含まれるデータが示す情報と、このパケット以前に受信されたパケットのペイロードに含まれるデータが示す情報との順序が規定されていてもよい。より具体的には、例えば、パケットのペイロードには第1制御コマンドが含まれ、このパケット以前に受信されたパケットのペイロードには第2制御コマンドが含まれ、かつ、第1制御コマンドが第2制御コマンドの次のコマンドである場合に、規則には、これらの制御コマンドの種類の間の順序が規定されていてもよい。 As described above, the rules selected and read from the data stored in the storage device 42 include the information indicated by the data contained in the payload of the packet and the data contained in the payload of the packet received before this packet. The order with the information shown may be specified. More specifically, for example, the payload of the packet contains the first control command, the payload of the packet received before this packet contains the second control command, and the first control command is the second. The rules may specify the order between these control command types if they are the following commands of the control command.

図17は、図13のフローチャートの更なる変形例を示すフローチャートである。図17のフローチャートは、ブロックB16及びB22に代えて、ブロックB316及びB322をそれぞれ有する点が、図13のフローチャートとは異なっている。その他の点については、図13と同様であるので説明を省略する。 FIG. 17 is a flowchart showing a further modification of the flowchart of FIG. The flowchart of FIG. 17 is different from the flowchart of FIG. 13 in that it has blocks B316 and B322 instead of blocks B16 and B22, respectively. Since other points are the same as those in FIG. 13, the description thereof will be omitted.

ブロックB316において、選択器36は、解析器34で求められたデータの種類に対応する構文及び規則を、記憶装置42に格納されているデータから選択して読み出す。選択器36は、読み出された構文及び規則を、入力されたパケットとともに判定器38に出力する。例えば、ペイロードのデータの種類が稼働実績通知である場合には、図10のような情報が構文として読み出され、更に、稼働実績通知に含まれる稼働実績情報の種類の順序が規則として読み出される。 In block B316, the selector 36 selects and reads the syntax and rules corresponding to the type of data obtained by the analyzer 34 from the data stored in the storage device 42. The selector 36 outputs the read syntax and rules to the determiner 38 together with the input packet. For example, when the data type of the payload is the operation record notification, the information as shown in FIG. 10 is read out as a syntax, and further, the order of the operation record information types included in the operation record notification is read out as a rule. ..

図18は、正常時の稼働実績情報の順序の例を示す図である。正常時には、図18のように、稼働実績情報として基板搬入時間を含む稼働実績通知(通知番号1)、稼働実績情報として基板実装時間を含む稼働実績通知(通知番号2)、稼働実績情報として基板搬出時間を含む稼働実績通知(通知番号3)が、この順序で繰り返される。ブロックB316では、このような順序が、規則として読み出される。 FIG. 18 is a diagram showing an example of the order of the operation record information in the normal state. At normal times, as shown in FIG. 18, the operation record notification (notification number 1) including the board loading time as the operation record information, the operation record notification (notification number 2) including the board mounting time as the operation record information, and the board as the operation record information. The operation record notification (notification number 3) including the delivery time is repeated in this order. In block B316, such an order is read out as a rule.

ブロックB322において、判定器38は、稼働実績情報の種類の順序が規則に違反しているか否かを判定する。図19は、異常時の稼働実績情報の順序の例を示す図である。図18のように、基板実装時間の次の稼働実績情報は、基板搬出時間であるべきである。ところが、図19では、3番目の稼働実績情報が、基板搬出時間であるべきところ、基板搬入時間である。このような場合には、製造システム100に異常があると考えられる。例えば、故障や、第三者によるパケットの改ざん等が生じたことが疑われる。そこで、図19の場合には、3番目の稼働実績情報が入力されると、判定器38は、稼働実績情報の種類の順序が規則に違反していると判定する。規則違反がある場合には、ブロックB24に進み、規則違反がない場合には、ブロックB26に進む。 In block B322, the determination device 38 determines whether or not the order of the types of operation record information violates the rule. FIG. 19 is a diagram showing an example of the order of operation record information at the time of abnormality. As shown in FIG. 18, the next operation record information of the board mounting time should be the board unloading time. However, in FIG. 19, the third operation record information should be the board carry-out time, which is the board carry-in time. In such a case, it is considered that there is an abnormality in the manufacturing system 100. For example, it is suspected that a failure or falsification of a packet by a third party has occurred. Therefore, in the case of FIG. 19, when the third operation record information is input, the determination device 38 determines that the order of the types of the operation record information violates the rule. If there is a rule violation, the process proceeds to block B24, and if there is no rule violation, the process proceeds to block B26.

このように、パケットのペイロードには第1稼働実績情報が含まれ、このパケット以前に受信されたパケットのペイロードには第2稼働実績情報が含まれ、かつ、第1稼働実績情報が第2稼働実績情報の次の情報である場合に、規則には、これらの稼働実績情報の種類の間の順序が規定されていてもよい。 As described above, the payload of the packet contains the first operation record information, the payload of the packet received before this packet contains the second operation record information, and the first operation record information is the second operation. The rules may specify the order between these types of operational performance information if they are the following information in the performance information.

図20は、図13のフローチャートの更なる変形例を示すフローチャートである。図20のフローチャートは、ブロックB16及びB22に代えて、ブロックB416及びB422をそれぞれ有し、ブロックB420を更に有する点が、図13のフローチャートとは異なっている。その他の点については、図13と同様であるので説明を省略する。図20において、パケットのペイロードには、制御コマンド又は稼働実績通知が含まれている。 FIG. 20 is a flowchart showing a further modification of the flowchart of FIG. The flowchart of FIG. 20 is different from the flowchart of FIG. 13 in that it has blocks B416 and B422, respectively, instead of blocks B16 and B22, and further has block B420. Since other points are the same as those in FIG. 13, the description thereof will be omitted. In FIG. 20, the packet payload contains a control command or an operation record notification.

図21は、製造装置22の状態遷移図であって、各状態から次の状態への遷移確率が示されている。図22は、正常時における製造装置22の状態遷移の確率に関する規則の例を示す図である。図22には、製造装置22の現在の状態(遷移元)、その次の状態(遷移先)、遷移の予定確率、製造装置22が状態を遷移するための制御コマンド、及び、製造装置22が状態を遷移する際に発生する稼働実績通知内の稼働実績情報が規定されている。各制御コマンド及び各稼働実績情報が発生する予定確率は、対応する遷移の予定確率と同じである。例えば、製造装置22が基板搬入状態にある場合には、次に基板実装状態に遷移する予定確率は90%であり、その遷移の際には、状態を遷移するための基板実装コマンドが発生し、基板搬入に要した時間及び機器状態情報を稼働実績情報として含む稼働実績通知が発生する。制御コマンドが記載されていない欄については、制御コマンドが発生しなくても遷移する。図22のような情報は、統計的に予め求められて、記憶装置42に格納されている。製造装置24についても、同様の情報が格納される。 FIG. 21 is a state transition diagram of the manufacturing apparatus 22, showing the transition probability from each state to the next state. FIG. 22 is a diagram showing an example of a rule regarding the probability of state transition of the manufacturing apparatus 22 in the normal state. In FIG. 22, the current state (transition source) of the manufacturing apparatus 22, the next state (transition destination), the planned transition probability, the control command for the manufacturing apparatus 22 to transition the state, and the manufacturing apparatus 22 are shown. The operation record information in the operation record notification that occurs when the state is changed is specified. The scheduled probability that each control command and each operation record information will be generated is the same as the scheduled probability of the corresponding transition. For example, when the manufacturing apparatus 22 is in the board loading state, the probability of transitioning to the board mounting state next is 90%, and at the time of the transition, a board mounting command for transitioning the state is generated. , An operation record notification including the time required to carry in the board and the device status information as the operation record information is generated. For columns where control commands are not described, transitions occur even if control commands do not occur. Information as shown in FIG. 22 is statistically obtained in advance and stored in the storage device 42. Similar information is stored in the manufacturing apparatus 24.

ブロックB416において、選択器36は、解析器34で求められたデータの種類に対応する構文及び規則を、記憶装置42に格納されているデータから選択して読み出す。選択器36は、読み出された構文及び規則を、入力されたパケットとともに判定器38に出力する。例えば、図8及び10のような情報が構文として読み出され、更に、図22のような規則が読み出される。 In block B416, the selector 36 selects and reads the syntax and rules corresponding to the type of data obtained by the analyzer 34 from the data stored in the storage device 42. The selector 36 outputs the read syntax and rules to the determiner 38 together with the input packet. For example, information as shown in FIGS. 8 and 10 is read out as a syntax, and further, a rule as shown in FIG. 22 is read out.

ブロックB420において、判定器38は、図21の各状態について、その次の状態への遷移、制御コマンド、又は稼働実績情報の実際の発生確率を求める。判定器38は、このような発生確率を、複数のパケットの受信処理を順次行いながら求める。 In block B420, the determination device 38 obtains the actual occurrence probability of the transition to the next state, the control command, or the operation record information for each state of FIG. 21. The determination device 38 obtains such an occurrence probability while sequentially performing reception processing of a plurality of packets.

ブロックB422において、判定器38は、いずれかの実際の発生確率の誤差、すなわち、いずれかの実際の発生確率と予定確率との差が、所定の閾値以上であるか否かを判定する。いずれかの実際の発生確率と予定確率との差が、所定の閾値以上である場合には、ブロックB24に進み、その他の場合には、ブロックB26に進む。 In the block B422, the determination device 38 determines whether or not the error of any of the actual occurrence probabilities, that is, the difference between any of the actual occurrence probabilities and the scheduled probabilities is equal to or greater than a predetermined threshold value. If the difference between any of the actual occurrence probabilities and the scheduled probabilities is equal to or greater than a predetermined threshold value, the process proceeds to block B24, and in other cases, the process proceeds to block B26.

図23は、異常時における制御コマンドの実際の発生確率に関する情報の例を示す図である。誤差の閾値は10%であるとする。図22の規則では、製造装置22が待機状態にある場合に、製造装置22が基板搬入状態に遷移するための基板搬入コマンドが発生する確率が、予定確率100%であるべきところ、図23では、実際には80%である。発生確率の誤差が20%であるので、ブロックB422において、判定器38は、実際の確率と予定確率との差が、所定の閾値以上であると判定する。 FIG. 23 is a diagram showing an example of information regarding the actual occurrence probability of the control command at the time of abnormality. The error threshold is assumed to be 10%. According to the rule of FIG. 22, when the manufacturing apparatus 22 is in the standby state, the probability that the substrate carry-in command for the manufacturing apparatus 22 to transition to the board carry-in state should be a planned probability of 100%, but in FIG. 23, , Actually 80%. Since the error of the probability of occurrence is 20%, in the block B422, the determination device 38 determines that the difference between the actual probability and the planned probability is equal to or greater than a predetermined threshold value.

図24は、異常時における稼働実績情報の実際の発生確率に関する情報の例を示す図である。誤差の閾値は10%であるとする。図22の規則では、製造装置22が待機状態にある場合に、製造装置22が基板搬入状態に遷移する際に機器状態情報を含む稼働実績通知が発生する確率が、予定確率100%であるべきところ、図24では、実際には50%である。発生確率の誤差が50%であるので、ブロックB422において、判定器38は、実際の確率と予定確率との差が、所定の閾値以上であると判定する。 FIG. 24 is a diagram showing an example of information regarding the actual occurrence probability of the operation record information at the time of abnormality. The error threshold is assumed to be 10%. According to the rule of FIG. 22, when the manufacturing apparatus 22 is in the standby state, the probability that the operation record notification including the equipment status information is generated when the manufacturing apparatus 22 transitions to the board loading state should be a planned probability of 100%. However, in FIG. 24, it is actually 50%. Since the error of the probability of occurrence is 50%, in the block B422, the determination device 38 determines that the difference between the actual probability and the planned probability is equal to or greater than a predetermined threshold value.

図25は、異常時における製造装置22の状態遷移の実際の発生確率に関する情報の例を示す図である。誤差の閾値は10%であるとする。図22の規則では、製造装置22が待機状態にある場合に、基板搬入状態への遷移が発生する確率が、予定確率100%であるべきところ、図25では、実際には80%である。発生確率の誤差が20%であるので、ブロックB422において、判定器38は、実際の確率と予定確率との差が、所定の閾値以上であると判定する。 FIG. 25 is a diagram showing an example of information regarding the actual occurrence probability of the state transition of the manufacturing apparatus 22 at the time of abnormality. The error threshold is assumed to be 10%. According to the rule of FIG. 22, when the manufacturing apparatus 22 is in the standby state, the probability that the transition to the substrate loading state should occur should be a planned probability of 100%, but in FIG. 25, it is actually 80%. Since the error of the probability of occurrence is 20%, in the block B422, the determination device 38 determines that the difference between the actual probability and the planned probability is equal to or greater than a predetermined threshold value.

なお、ブロックB420において、判定器38は、次の状態への遷移、制御コマンド、又は稼働実績情報のうちの1つのみ又は複数の、実際の発生確率を求めてもよい。 In the block B 420, the determination device 38 may obtain the actual occurrence probability of only one or a plurality of the transition to the next state, the control command, or the operation record information.

図20のフローチャートによる例の変形例を説明する。図26は、正常時における次のコマンドの発生確率に関する規則の例を示す図である。図26には、現在の制御コマンド、その次の制御コマンド、及び、予定確率が規定されている。この図は図21及び図22に対応している。例えば、基板搬入コマンドが発生した場合には、製造装置22は基板搬入状態に遷移するので、その次に基板実装コマンドが発生する予定確率は、90%である。図26のような情報は、統計的に予め求められて、記憶装置42に格納されている。 A modified example of the example according to the flowchart of FIG. 20 will be described. FIG. 26 is a diagram showing an example of a rule regarding the probability of occurrence of the next command in the normal state. FIG. 26 defines the current control command, the next control command, and the scheduled probability. This figure corresponds to FIGS. 21 and 22. For example, when the board carry-in command is generated, the manufacturing apparatus 22 transitions to the board carry-in state, so that the probability that the board mounting command will be generated next is 90%. Information such as that shown in FIG. 26 is statistically obtained in advance and stored in the storage device 42.

ブロックB416において、選択器36は、図22のような規則に代えて、図26のような規則を記憶装置42から読み出す。ブロックB420において、判定器38は、発生した制御コマンドの種類毎に、その次に発生する各種類の制御コマンドの実際の発生確率を求める。判定器38は、このような発生確率を、複数のパケットの受信処理を順次行いながら求める。 In block B416, the selector 36 reads a rule as shown in FIG. 26 from the storage device 42 instead of the rule as shown in FIG. 22. In block B420, the determination device 38 obtains the actual probability of occurrence of each type of control command that occurs next for each type of control command that has occurred. The determination device 38 obtains such an occurrence probability while sequentially performing reception processing of a plurality of packets.

ブロックB422において、判定器38は、実際の発生確率の誤差、すなわち、次のコマンドの実際の発生確率と予定確率との差が、所定の閾値以上であるか否かを判定する。実際の発生確率と予定確率との差が、所定の閾値以上である場合には、ブロックB24に進み、その他の場合には、ブロックB26に進む。 In block B422, the determination device 38 determines whether or not the error of the actual occurrence probability, that is, the difference between the actual occurrence probability and the scheduled probability of the next command is equal to or more than a predetermined threshold value. If the difference between the actual occurrence probability and the planned probability is equal to or greater than a predetermined threshold value, the process proceeds to the block B24, and in other cases, the process proceeds to the block B26.

この例によると、発生したコマンドの種類のみから、製造システム100に異常があることを判定することができる。 According to this example, it can be determined that there is an abnormality in the manufacturing system 100 only from the type of the generated command.

図20のフローチャートによる例の更なる変形例を説明する。図27は、正常時における次の稼働実績情報の発生確率に関する規則の例を示す図である。図27には、現在の稼働実績情報、その次の稼働実績情報、及び、予定確率が規定されている。この図は図21及び図22に対応している。例えば、基板搬入時間が稼働実績情報として発生した場合には、製造装置22は基板実装状態に遷移するので、その次に基板実装時間が稼働実績情報として発生する予定確率は、85%である。図27のような情報は、統計的に予め求められて、記憶装置42に格納されている。 A further modification of the example according to the flowchart of FIG. 20 will be described. FIG. 27 is a diagram showing an example of a rule regarding the probability of occurrence of the next operation record information in a normal state. FIG. 27 defines the current operation record information, the next operation record information, and the planned probability. This figure corresponds to FIGS. 21 and 22. For example, when the board loading time occurs as the operation record information, the manufacturing apparatus 22 transitions to the board mounting state, so that the probability that the board mounting time will occur next as the operation record information is 85%. Information as shown in FIG. 27 is statistically obtained in advance and stored in the storage device 42.

ブロックB416において、選択器36は、図22のような規則に代えて、図27のような規則を記憶装置42から読み出す。ブロックB420において、判定器38は、発生した稼働実績情報の種類毎に、その次に発生する各種類の稼働実績情報の実際の発生確率を求める。判定器38は、このような発生確率を、複数のパケットの受信処理を順次行いながら求める。 In block B416, the selector 36 reads a rule as shown in FIG. 27 from the storage device 42 instead of the rule as shown in FIG. 22. In block B420, the determination device 38 obtains the actual occurrence probability of each type of operation record information that is generated next for each type of operation record information that has occurred. The determination device 38 obtains such an occurrence probability while sequentially performing reception processing of a plurality of packets.

ブロックB422において、判定器38は、実際の発生確率の誤差、すなわち、次の稼働実績情報の実際の発生確率と予定確率との差が、所定の閾値以上であるか否かを判定する。実際の発生確率と予定確率との差が、所定の閾値以上である場合には、ブロックB24に進み、その他の場合には、ブロックB26に進む。 In block B422, the determination device 38 determines whether or not the error of the actual occurrence probability, that is, the difference between the actual occurrence probability and the scheduled probability of the next operation record information is equal to or more than a predetermined threshold value. If the difference between the actual occurrence probability and the planned probability is equal to or greater than a predetermined threshold value, the process proceeds to the block B24, and in other cases, the process proceeds to the block B26.

この例によると、発生した稼働実績情報の種類のみから、製造システム100に異常があることを判定することができる。 According to this example, it can be determined that there is an abnormality in the manufacturing system 100 only from the type of the generated operation record information.

図28は、図13のフローチャートの更なる変形例を示すフローチャートである。図28のフローチャートは、ブロックB16及びB22に代えて、ブロックB516及びB522をそれぞれ有し、ブロックB520を更に有する点が、図13のフローチャートとは異なっている。その他の点については、図13と同様であるので説明を省略する。図28において、パケットのペイロードには、制御コマンド又は稼働実績通知が含まれている。 FIG. 28 is a flowchart showing a further modification of the flowchart of FIG. The flowchart of FIG. 28 differs from the flowchart of FIG. 13 in that it has blocks B516 and B522, respectively, instead of blocks B16 and B22, and further has block B520. Since other points are the same as those in FIG. 13, the description thereof will be omitted. In FIG. 28, the payload of the packet contains a control command or an operation record notification.

図29は、製造装置22の状態遷移図であって、各状態になってから次の状態になるまでの時間が示されている。図30は、正常時における製造装置22の状態遷移に要する時間に関する規則の例を示す図である。図30には、製造装置22の現在の状態(遷移元)、その次の状態(遷移先)、遷移に要する予定時間、製造装置22が状態を遷移するための制御コマンド、及び、製造装置22が状態を遷移する際に発生する稼働実績通知内の稼働実績情報が規定されている。各状態について、その状態になってから、次の制御コマンド又は稼働実績情報が出力されるまでの予定時間は、次の状態への遷移に要する予定時間と同じである。例えば、製造装置22が基板搬入状態にある場合には、次に基板実装状態に遷移するのに要する予定時間は10秒であり、その遷移の際には、状態を遷移するための基板実装コマンドが出力され、基板搬入に要した時間及び機器状態情報を稼働実績情報として含む稼働実績通知が出力される。制御コマンドが記載されていない欄については、制御コマンドが出力されなくても遷移する。図30のような情報は、統計的に予め求められて、記憶装置42に格納されている。製造装置24についても、同様の情報が格納される。 FIG. 29 is a state transition diagram of the manufacturing apparatus 22, and shows the time from each state to the next state. FIG. 30 is a diagram showing an example of a rule regarding the time required for the state transition of the manufacturing apparatus 22 in the normal state. FIG. 30 shows the current state (transition source) of the manufacturing apparatus 22, the next state (transition destination), the scheduled time required for the transition, the control command for the manufacturing apparatus 22 to transition to the state, and the manufacturing apparatus 22. The operation record information in the operation record notification that occurs when the state transitions is specified. For each state, the scheduled time from that state to the output of the next control command or operation record information is the same as the scheduled time required for the transition to the next state. For example, when the manufacturing apparatus 22 is in the board loading state, the scheduled time required for the next transition to the board mounting state is 10 seconds, and at the time of the transition, the board mounting command for transitioning the state Is output, and an operation record notification including the time required to carry in the board and the device status information as the operation record information is output. For columns where control commands are not described, transitions occur even if control commands are not output. Information as shown in FIG. 30 is statistically obtained in advance and stored in the storage device 42. Similar information is stored in the manufacturing apparatus 24.

ブロックB516において、選択器36は、解析器34で求められたデータの種類に対応する構文及び規則を、記憶装置42に格納されているデータから選択して読み出す。選択器36は、読み出された構文及び規則を、入力されたパケットとともに判定器38に出力する。例えば、図8及び10のような情報が構文として読み出され、更に、図30のような規則が読み出される。 In block B516, the selector 36 selects and reads the syntax and rules corresponding to the data type obtained by the analyzer 34 from the data stored in the storage device 42. The selector 36 outputs the read syntax and rules to the determiner 38 together with the input packet. For example, information as shown in FIGS. 8 and 10 is read out as a syntax, and further, a rule as shown in FIG. 30 is read out.

ブロックB520において、判定器38は、図29の各状態について、その次の状態への遷移、制御コマンドの出力、又は稼働実績情報の出力に要する実際の時間を求める。判定器38は、このような時間を、複数のパケットの受信処理を順次行いながら求める。 In the block B520, the determination device 38 obtains the actual time required for the transition to the next state, the output of the control command, or the output of the operation record information for each state of FIG. 29. The determination device 38 obtains such a time while sequentially performing reception processing of a plurality of packets.

ブロックB522において、判定器38は、いずれかの実際の時間の誤差、すなわち、いずれかの実際の時間と予定時間との差が、所定の閾値以上であるか否かを判定する。いずれかの実際の時間と予定時間との差が、所定の閾値以上である場合には、ブロックB24に進み、その他の場合には、ブロックB26に進む。 In block B522, the determination device 38 determines whether or not the error of any actual time, that is, the difference between any actual time and the scheduled time is equal to or greater than a predetermined threshold value. If the difference between any of the actual times and the scheduled time is equal to or greater than a predetermined threshold value, the process proceeds to the block B24, and in other cases, the process proceeds to the block B26.

図31は、異常時における制御コマンドの出力までの実際の時間に関する情報の例を示す図である。誤差の閾値は15秒であるとする。図30の規則では、製造装置22が基板実装状態になってから、製造装置22が基板搬出状態に遷移するための基板搬出コマンドが出力されるまでの時間が、予定時間10秒であるべきところ、図3では、実際には100秒である。時間の誤差が90秒であるので、ブロックB522において、判定器38は、実際の時間と予定時間との差が、所定の閾値以上であると判定する。 FIG. 31 is a diagram showing an example of information regarding the actual time until the output of the control command at the time of abnormality. The error threshold is assumed to be 15 seconds. According to the rule of FIG. 30, the time from when the manufacturing apparatus 22 is in the board mounting state to when the substrate unloading command for transitioning to the board unloading state is output should be a scheduled time of 10 seconds. , In FIG. 3, it is actually 100 seconds. Since the time error is 90 seconds, in the block B522, the determination device 38 determines that the difference between the actual time and the scheduled time is equal to or greater than a predetermined threshold value.

図32は、異常時における稼働実績情報の出力までの実際の時間に関する情報の例を示す図である。誤差の閾値は15秒であるとする。図30の規則では、製造装置22が基板実装状態になってから、製造装置22が基板搬出状態に遷移する際に機器実装時間を含む稼働実績通知が出力されるまでの時間が、予定時間10秒であるべきところ、図32では、実際には100秒である。時間の誤差が90秒であるので、ブロックB522において、判定器38は、実際の時間と予定時間との差が、所定の閾値以上であると判定する。 FIG. 32 is a diagram showing an example of information regarding the actual time until the output of the operation record information at the time of abnormality. The error threshold is assumed to be 15 seconds. According to the rule of FIG. 30, the scheduled time is 10 from the time when the manufacturing apparatus 22 is in the board mounting state until the operation result notification including the equipment mounting time is output when the manufacturing apparatus 22 transitions to the board unloading state. Where it should be seconds, in FIG. 32 it is actually 100 seconds. Since the time error is 90 seconds, in the block B522, the determination device 38 determines that the difference between the actual time and the scheduled time is equal to or greater than a predetermined threshold value.

図33は、異常時における製造装置22の状態遷移に要する実際の時間に関する情報の例を示す図である。誤差の閾値は15秒であるとする。図30の規則では、製造装置22が基板実装状態になってから基板搬出状態へ遷移するのに要する時間が、予定時間10秒であるべきところ、図33では、実際には100秒である。時間の誤差が90秒であるので、ブロックB522において、判定器38は、実際の時間と予定時間との差が、所定の閾値以上であると判定する。 FIG. 33 is a diagram showing an example of information regarding the actual time required for the state transition of the manufacturing apparatus 22 at the time of abnormality. The error threshold is assumed to be 15 seconds. According to the rule of FIG. 30, the time required for the manufacturing apparatus 22 to transition from the board mounting state to the board unloading state should be a scheduled time of 10 seconds, but in FIG. 33, it is actually 100 seconds. Since the time error is 90 seconds, in the block B522, the determination device 38 determines that the difference between the actual time and the scheduled time is equal to or greater than a predetermined threshold value.

なお、ブロックB520において、判定器38は、次の状態への遷移に要する時間、制御コマンドの出力までの時間、又は稼働実績情報の出力までの時間のうちの、1つのみ又は複数を求めてもよい。 In the block B520, the determination device 38 obtains only one or a plurality of the time required for the transition to the next state, the time until the output of the control command, or the time until the output of the operation record information. May be good.

図28のフローチャートによる例の変形例を説明する。図34は、正常時における次のコマンドの出力までの時間に関する規則の例を示す図である。図34には、現在の制御コマンド、その次の制御コマンド、及び、予定時間が規定されている。この図は図29及び図30に対応している。例えば、基板実装コマンドが出力された場合には、製造装置22は基板実装状態に遷移するので、基板実装コマンドが出力されてから、その次に基板搬出コマンドが出力されるまでの予定時間は、10秒である。図34のような情報は、統計的に予め求められて、記憶装置42に格納されている。 A modified example of the example according to the flowchart of FIG. 28 will be described. FIG. 34 is a diagram showing an example of a rule regarding the time until the output of the next command in the normal state. FIG. 34 defines the current control command, the next control command, and the scheduled time. This figure corresponds to FIGS. 29 and 30. For example, when the board mounting command is output, the manufacturing apparatus 22 transitions to the board mounting state. Therefore, the scheduled time from the output of the board mounting command to the next output of the board unloading command is set. It is 10 seconds. Information as shown in FIG. 34 is statistically obtained in advance and stored in the storage device 42.

ブロックB516において、選択器36は、図30のような規則に代えて、図34のような規則を記憶装置42から読み出す。ブロックB520において、判定器38は、出力された制御コマンドの種類毎に、その制御コマンドが出力されてから、その次に各種類の制御コマンドが出力されるまでの実際の時間を求める。判定器38は、このような時間を、複数のパケットの受信処理を順次行いながら求める。 In block B516, the selector 36 reads a rule as shown in FIG. 34 from the storage device 42 instead of the rule as shown in FIG. 30. In the block B520, the determination device 38 obtains the actual time from the output of the control command to the next output of each type of control command for each type of output control command. The determination device 38 obtains such a time while sequentially performing reception processing of a plurality of packets.

ブロックB522において、判定器38は、実際の時間の誤差、すなわち、次のコマンドが出力されるまでの実際の時間と予定時間との差が、所定の閾値以上であるか否かを判定する。実際の時間と予定時間との差が、所定の閾値以上である場合には、ブロックB24に進み、その他の場合には、ブロックB26に進む。 In block B522, the determination device 38 determines whether or not the error in the actual time, that is, the difference between the actual time until the next command is output and the scheduled time is equal to or greater than a predetermined threshold value. If the difference between the actual time and the scheduled time is equal to or greater than a predetermined threshold value, the process proceeds to the block B24, and in other cases, the process proceeds to the block B26.

この例によると、発生したコマンドの種類のみから、製造システム100に異常があることを判定することができる。 According to this example, it can be determined that there is an abnormality in the manufacturing system 100 only from the type of the generated command.

図28のフローチャートによる例の更なる変形例を説明する。図35は、正常時における次の稼働実績情報の出力までの時間に関する規則の例を示す図である。図35には、現在の稼働実績情報、その次の稼働実績情報、及び、予定時間が規定されている。この図は図29及び図30に対応している。例えば、基板搬入時間が稼働実績情報として出力された場合には、製造装置22は基板実装状態に遷移するので、基板搬入時間が出力されてから、その次に基板実装時間が稼働実績情報として出力されるまでの予定時間は、10秒である。図35のような情報は、統計的に予め求められて、記憶装置42に格納されている。 A further modification of the example according to the flowchart of FIG. 28 will be described. FIG. 35 is a diagram showing an example of a rule regarding the time until the output of the next operation record information in the normal state. FIG. 35 defines the current operation record information, the next operation record information, and the scheduled time. This figure corresponds to FIGS. 29 and 30. For example, when the board carry-in time is output as the operation record information, the manufacturing apparatus 22 transitions to the board mounting state. Therefore, after the board carry-in time is output, the board mounting time is output as the operation record information. The scheduled time until it is done is 10 seconds. Information as shown in FIG. 35 is statistically obtained in advance and stored in the storage device 42.

ブロックB516において、選択器36は、図30のような規則に代えて、図35のような規則を記憶装置42から読み出す。ブロックB520において、判定器38は、出力された稼働実績情報の種類毎に、その稼働実績情報が出力されてから、その次に各種類の稼働実績情報が出力されるまでの実際の時間を求める。判定器38は、このような時間を、複数のパケットの受信処理を順次行いながら求める。 In block B516, the selector 36 reads a rule as shown in FIG. 35 from the storage device 42 instead of the rule as shown in FIG. 30. In the block B520, the determination device 38 obtains the actual time from the output of the operation record information to the next output of each type of operation record information for each type of output operation record information. .. The determination device 38 obtains such a time while sequentially performing reception processing of a plurality of packets.

ブロックB522において、判定器38は、実際の時間の誤差、すなわち、次の稼働実績情報が出力されるまでの実際の時間と予定時間との差が、所定の閾値以上であるか否かを判定する。実際の時間と予定時間との差が、所定の閾値以上である場合には、ブロックB24に進み、その他の場合には、ブロックB26に進む。 In block B522, the determination device 38 determines whether or not an error in the actual time, that is, the difference between the actual time and the scheduled time until the next operation record information is output is equal to or greater than a predetermined threshold value. do. If the difference between the actual time and the scheduled time is equal to or greater than a predetermined threshold value, the process proceeds to the block B24, and in other cases, the process proceeds to the block B26.

この例によると、発生した稼働実績情報の種類のみから、製造システム100に異常があることを判定することができる。 According to this example, it can be determined that there is an abnormality in the manufacturing system 100 only from the type of the generated operation record information.

なお、データ分析装置30は、例えば図22,26,27,30,34及び35に記載されているような規則を、送受信機32によって受信された複数のパケットのペイロードから学習するようにしてもよい。例えば、複数のパケットから、状態とその次の状態との組合せ等の条件毎に平均化処理を行うことによって、上述したような予定確率や予定時間を予め求めて、記憶装置42に格納しておく。 Note that the data analyzer 30 may learn from the payloads of a plurality of packets received by the transceiver 32, for example, the rules as shown in FIGS. 22, 26, 27, 30, 34 and 35. good. For example, by performing averaging processing for each condition such as a combination of a state and the next state from a plurality of packets, the scheduled probability and the scheduled time as described above are obtained in advance and stored in the storage device 42. deep.

図36は、本発明の実施形態に係るデータ分析装置を実現するコンピュータシステムの構成例を示すブロック図である。図36のコンピュータシステム80は、プロセッサ82と、送受信機84と、バス88と、メモリ92と、ファイル格納装置94と、入力デバイス96と、ディスプレイ98とを有する。 FIG. 36 is a block diagram showing a configuration example of a computer system that realizes the data analysis device according to the embodiment of the present invention. The computer system 80 of FIG. 36 includes a processor 82, a transmitter / receiver 84, a bus 88, a memory 92, a file storage device 94, an input device 96, and a display 98.

プロセッサ82は、バス88を経由して他の構成要素と通信する。送受信機84は、インターネット等の通信ネットワークとの間でデータを送受信する。送受信機84は、無線によって通信ネットワークに接続されていてもよい。 The processor 82 communicates with other components via the bus 88. The transceiver 84 transmits / receives data to / from a communication network such as the Internet. The transceiver 84 may be wirelessly connected to the communication network.

メモリ92は例えばRAM(random access memory)及びROM(read only memory)を含んでおり、データ及び命令を格納する。ファイル格納装置94は、1以上の揮発性又は不揮発性の、非過渡的な、コンピュータ読み取り可能な格納媒体である。本発明の実施形態がソフトウェアで実現される場合には、例えば、マイクロコード、アセンブリ言語のコード、又はより高レベルの言語のコードが用いられ得る。これらのコードで記述され、本発明の実施形態の機能を実現する命令を含むプログラムを、ファイル格納装置94は格納する。ファイル格納装置94は、RAM、ROM、EEPROM(electrically erasable programmable read only memory)、及びフラッシュメモリ等の半導体メモリ、ハードディスクドライブ等の磁気記録媒体、光記録媒体、これらの組み合わせ等を含み得る。 The memory 92 includes, for example, a RAM (random access memory) and a ROM (read only memory), and stores data and instructions. The file storage device 94 is one or more volatile or non-volatile, non-transient, computer-readable storage media. When embodiments of the invention are realized in software, for example, microcode, assembly language code, or higher level language code may be used. The file storage device 94 stores a program described by these codes and including an instruction for realizing the function of the embodiment of the present invention. The file storage device 94 may include a RAM, a ROM, an EEPROM (electrically erasable programmable read only memory), a semiconductor memory such as a flash memory, a magnetic recording medium such as a hard disk drive, an optical recording medium, and a combination thereof.

入力デバイス96は、タッチスクリーン、キーボード、リモートコントローラ、及びマウス等を含み得る。ディスプレイは、液晶ディスプレイ、有機EL(electroluminescence)ディスプレイ等のフラットパネルディスプレイを含み得る。 The input device 96 may include a touch screen, a keyboard, a remote controller, a mouse, and the like. The display may include a flat panel display such as a liquid crystal display or an organic EL (electroluminescence) display.

コンピュータシステム80は、図1のデータ分析装置30として動作し得る。プロセッサ82は、図12の解析器34、選択器36、及び判定器38として動作し得る。送受信機84は、図12の送受信機32として動作し得る。ファイル格納装置94は、図12の記憶装置42として動作し得る。 The computer system 80 can operate as the data analyzer 30 of FIG. The processor 82 can operate as the analyzer 34, the selector 36, and the determiner 38 of FIG. The transceiver 84 can operate as the transceiver 32 in FIG. The file storage device 94 can operate as the storage device 42 of FIG.

本明細書における各機能ブロックは、例えば、回路等のハードウェアで実現され得る。代替としては各機能ブロックの一部又は全ては、ソフトウェアで実現され得る。例えばそのような機能ブロックは、プロセッサ82及びプロセッサ82上で実行されるプログラムによって実現され得る。換言すれば、本明細書で説明される各機能ブロックは、ハードウェアで実現されてもよいし、ソフトウェアで実現されてもよいし、ハードウェアとソフトウェアとの任意の組合せで実現され得る。 Each functional block in the present specification can be realized by hardware such as a circuit. As an alternative, some or all of each functional block may be implemented in software. For example, such a functional block may be realized by a processor 82 and a program running on the processor 82. In other words, each functional block described herein may be implemented in hardware, software, or any combination of hardware and software.

以上の実施形態は、本質的に好ましい例示であって、本発明、その適用物、あるいはその用途の範囲を制限することを意図するものではない。 The above embodiments are essentially preferred embodiments and are not intended to limit the scope of the invention, its applications, or its uses.

以上説明したように、本開示は、データ分析装置、方法、及びプログラム等について有用である。 As described above, the present disclosure is useful for data analyzers, methods, programs and the like.

2 ネットワーク
10 製造制御装置
22,24 製造装置
30 データ分析装置
32 送受信機(受信機)
34 解析器
36 選択器
38 判定器
42 記憶装置
100 製造システム2 Network 10 Manufacturing control device 22, 24 Manufacturing device 30 Data analysis device 32 Transceiver (receiver)
34 Interpreter 36 Selector 38 Judgment 42 Storage device 100 Manufacturing system

Claims (19)

製造装置と、前記製造装置を制御する製造制御装置と、を有する製造システムにおいて伝送されるデータを分析するデータ分析装置であって、
前記製造制御装置と前記製造装置との間で伝送される第1パケットを受信する受信機と、
受信された前記第1パケットのヘッダに含まれるIPアドレス及びポート番号から、受信された前記第1パケットのペイロードに含まれるデータの種類を求める解析器と、
前記解析器で求められた前記データの種類に基づいて、前記データの種類に対応する構文又は規則を選択する選択器と、
前記ペイロードに含まれるデータが、前記データの種類に対応する構文又は規則に従っていない場合に、前記製造システムに異常があると判定する判定器と
を備えるデータ分析装置。A data analysis device that analyzes data transmitted in a manufacturing system having a manufacturing device and a manufacturing control device that controls the manufacturing device.
A receiver that receives the first packet transmitted between the manufacturing control device and the manufacturing device, and
An analyzer that obtains the type of data contained in the payload of the received first packet from the received IP address and port number included in the header of the first packet.
A selector that selects a syntax or rule corresponding to the type of data based on the type of data obtained by the analyzer.
A data analyzer comprising a determination device for determining that there is an abnormality in the manufacturing system when the data contained in the payload does not follow the syntax or rules corresponding to the type of data. 請求項1に記載のデータ分析装置において、
前記ペイロードには、制御コマンドが含まれ、
前記構文は、前記制御コマンドの構文である
データ分析装置。In the data analyzer according to claim 1,
The payload contains control commands and
The syntax is a data analyzer that is the syntax of the control command. 請求項1に記載のデータ分析装置において、
前記ペイロードには、前記製造装置の稼働実績通知が含まれ、
前記構文は、前記稼働実績通知の構文である
データ分析装置。In the data analyzer according to claim 1,
The payload includes an operation record notification of the manufacturing equipment.
The syntax is a data analysis device which is the syntax of the operation record notification. 請求項1に記載のデータ分析装置において、
前記規則には、前記第1パケットのペイロードに含まれるデータが示す情報と、前記第1パケット以前に受信された第2パケットのペイロードに含まれるデータが示す情報との順序が規定されている
データ分析装置。In the data analyzer according to claim 1,
The rule defines the order of the information indicated by the data contained in the payload of the first packet and the information indicated by the data contained in the payload of the second packet received before the first packet. Analysis equipment. 請求項4に記載のデータ分析装置において、
前記第1パケットのペイロードには、第1制御コマンドが含まれ、
前記第2パケットのペイロードには、第2制御コマンドが含まれ、前記第1制御コマンドは、前記第2制御コマンドの次のコマンドであり、
前記規則には、前記第1制御コマンドの種類と前記第2制御コマンドの種類との順序が規定されている
データ分析装置。In the data analyzer according to claim 4,
The payload of the first packet contains the first control command.
The payload of the second packet includes a second control command, and the first control command is a command following the second control command.
The data analyzer defines the order of the type of the first control command and the type of the second control command in the rule. 請求項4に記載のデータ分析装置において、
前記第1パケットのペイロードには、第1稼働実績情報が含まれ、
前記第2パケットのペイロードには、第2稼働実績情報が含まれ、前記第1稼働実績情報は、前記第2稼働実績情報の次の通知であり、
前記規則には、前記第1稼働実績情報の種類と前記第2稼働実績情報の種類との順序が規定されている
データ分析装置。In the data analyzer according to claim 4,
The payload of the first packet contains the first operation record information.
The payload of the second packet includes the second operation record information, and the first operation record information is the next notification of the second operation record information.
The rule defines the order of the type of the first operation record information and the type of the second operation record information. 請求項1に記載のデータ分析装置において、
前記第1パケットのペイロードには、制御コマンドが含まれ、
前記規則には、前記製造装置が第1状態にある場合に、前記製造装置が第2状態に遷移するための前記制御コマンドが発生する予定確率が規定されており、
前記判定器は、前記製造装置が前記第1状態にある場合に、前記制御コマンドが発生する実際の確率を求め、前記実際の確率と前記予定確率との差が所定の値より大きい場合に、前記製造システムに異常があると判定する
データ分析装置。In the data analyzer according to claim 1,
The payload of the first packet contains control commands.
The rule stipulates the probability that the control command for the manufacturing device to transition to the second state will be generated when the manufacturing device is in the first state.
The determination device obtains the actual probability that the control command is generated when the manufacturing apparatus is in the first state, and when the difference between the actual probability and the planned probability is larger than a predetermined value, the determination device obtains the actual probability. A data analyzer that determines that there is an abnormality in the manufacturing system. 請求項1に記載のデータ分析装置において、
前記第1パケットのペイロードには、稼働実績情報が含まれ、
前記規則には、前記製造装置が第1状態にある場合に、前記製造装置が第2状態に遷移する際に前記稼働実績情報が発生する予定確率が規定されており、
前記判定器は、前記製造装置が前記第1状態にある場合に、前記稼働実績情報が発生する実際の確率を求め、前記実際の確率と前記予定確率との差が所定の値より大きい場合に、前記製造システムに異常があると判定する
データ分析装置。In the data analyzer according to claim 1,
The payload of the first packet contains operation record information.
The rule stipulates the probability that the operation record information will be generated when the manufacturing apparatus transitions to the second state when the manufacturing apparatus is in the first state.
The determination device obtains the actual probability that the operation record information is generated when the manufacturing apparatus is in the first state, and when the difference between the actual probability and the planned probability is larger than a predetermined value. , A data analyzer that determines that there is an abnormality in the manufacturing system. 請求項1に記載のデータ分析装置において、
前記規則には、前記製造装置が第1状態にある場合に、前記製造装置の第2状態への遷移が発生する予定確率が規定されており、
前記判定器は、前記製造装置が前記第1状態にある場合に、前記製造装置の前記第2状態への遷移が発生する実際の確率を求め、前記実際の確率と前記予定確率との差が所定の値より大きい場合に、前記製造システムに異常があると判定する
データ分析装置。In the data analyzer according to claim 1,
The rule stipulates the probability that the transition to the second state of the manufacturing device will occur when the manufacturing device is in the first state.
The determination device obtains the actual probability that the transition of the manufacturing apparatus to the second state occurs when the manufacturing apparatus is in the first state, and the difference between the actual probability and the planned probability is A data analyzer that determines that there is an abnormality in the manufacturing system when it is larger than a predetermined value. 請求項1に記載のデータ分析装置において、
前記第1パケットのペイロードには、第1制御コマンドが含まれ、
前記第1パケット以前に受信された第2パケットのペイロードには、第2制御コマンドが含まれ、前記第1制御コマンドは、前記第2制御コマンドの次のコマンドであり、
前記規則には、前記第2制御コマンドが発生した場合に、前記第2制御コマンドの次に前記第1制御コマンドが発生する予定確率が規定されており、
前記判定器は、前記第2制御コマンドが発生した場合に、前記第2制御コマンドの次に前記第1制御コマンドが発生する実際の確率を求め、前記実際の確率と前記予定確率との差が所定の値より大きい場合に、前記製造システムに異常があると判定する
データ分析装置。In the data analyzer according to claim 1,
The payload of the first packet contains the first control command.
The payload of the second packet received before the first packet includes a second control command, and the first control command is a command following the second control command.
The rule defines the probability that the first control command will be generated next to the second control command when the second control command is generated.
The determination device obtains the actual probability that the first control command is generated next to the second control command when the second control command is generated, and the difference between the actual probability and the scheduled probability is A data analyzer that determines that there is an abnormality in the manufacturing system when it is larger than a predetermined value. 請求項1に記載のデータ分析装置において、
前記第1パケットのペイロードには、第1稼働実績情報が含まれ、
前記第1パケット以前に受信された第2パケットのペイロードには、第2稼働実績情報が含まれ、前記第1稼働実績情報は、前記第2稼働実績情報の次の情報であり、
前記規則には、前記第2稼働実績情報が発生した場合に、前記第2稼働実績情報の次に前記第1稼働実績情報が発生する予定確率が規定されており、
前記判定器は、前記第2稼働実績情報が発生した場合に、前記第2稼働実績情報の次に前記第1稼働実績情報が発生する実際の確率を求め、前記実際の確率と前記予定確率との差が所定の値より大きい場合に、前記製造システムに異常があると判定する
データ分析装置。In the data analyzer according to claim 1,
The payload of the first packet contains the first operation record information.
The payload of the second packet received before the first packet includes the second operation record information, and the first operation record information is the next information of the second operation record information.
The rule stipulates the probability that the first operation record information will be generated next to the second operation record information when the second operation record information is generated.
The determination device obtains an actual probability that the first operation record information will occur next to the second operation record information when the second operation record information is generated, and the actual probability and the planned probability A data analyzer that determines that there is an abnormality in the manufacturing system when the difference between the two is larger than a predetermined value. 請求項1に記載のデータ分析装置において、
前記第1パケットのペイロードには、制御コマンドが含まれ、
前記規則には、前記製造装置が第1状態になってから、前記製造装置が第2状態に遷移するための前記制御コマンドが出力されるまでの予定時間が規定されており、
前記判定器は、前記製造装置が前記第1状態になってから、前記制御コマンドが受信されるまでの実際の時間を求め、前記実際の時間と前記予定時間との差が所定の値より大きい場合に、前記製造システムに異常があると判定する
データ分析装置。In the data analyzer according to claim 1,
The payload of the first packet contains control commands.
The rule stipulates a scheduled time from when the manufacturing apparatus is in the first state until the control command for transitioning to the second state is output.
The determination device obtains the actual time from when the manufacturing apparatus is in the first state to when the control command is received, and the difference between the actual time and the scheduled time is larger than a predetermined value. A data analyzer that determines that there is an abnormality in the manufacturing system. 請求項1に記載のデータ分析装置において、
前記第1パケットのペイロードには、稼働実績情報が含まれ、
前記規則には、前記製造装置が第1状態になってから、前記製造装置が第2状態に遷移する際に出力されるべき前記稼働実績情報が出力されるまでの予定時間が規定されており、
前記判定器は、前記製造装置が前記第1状態になってから、前記稼働実績情報が出力されるまでの実際の時間を求め、前記実際の時間と前記予定時間との差が所定の値より大きい場合に、前記製造システムに異常があると判定する
データ分析装置。In the data analyzer according to claim 1,
The payload of the first packet contains operation record information.
The rule stipulates the scheduled time from when the manufacturing apparatus is in the first state until the operation record information to be output when the manufacturing apparatus transitions to the second state is output. ,
The determination device obtains the actual time from when the manufacturing apparatus is in the first state to when the operation record information is output, and the difference between the actual time and the scheduled time is more than a predetermined value. A data analyzer that determines that there is an abnormality in the manufacturing system when it is large. 請求項1に記載のデータ分析装置において、
前記規則には、前記製造装置が第1状態になってから、前記製造装置が第2状態に遷移するまでの予定時間が規定されており、
前記判定器は、前記製造装置が前記第1状態になってから、前記製造装置が前記第2状態に遷移するまでの実際の時間を求め、前記実際の時間と前記予定時間との差が所定の値より大きい場合に、前記製造システムに異常があると判定する
データ分析装置。In the data analyzer according to claim 1,
The rule stipulates the scheduled time from when the manufacturing apparatus is in the first state to when the manufacturing apparatus is in the second state.
The determination device obtains the actual time from when the manufacturing apparatus is in the first state to when the manufacturing apparatus transitions to the second state, and the difference between the actual time and the scheduled time is predetermined. A data analyzer that determines that there is an abnormality in the manufacturing system when it is larger than the value of. 請求項1に記載のデータ分析装置において、
前記第1パケットのペイロードには、第1制御コマンドが含まれ、
前記第1パケット以前に受信された第2パケットのペイロードには、第2制御コマンドが含まれ、前記第1制御コマンドは、前記第2制御コマンドの次のコマンドであり、
前記規則には、前記第2制御コマンドが出力されてから、前記第1制御コマンドが出力されるまでの予定時間が規定されており、
前記判定器は、前記第2制御コマンドが出力されてから、前記第1制御コマンドが出力されるまでの実際の時間を求め、前記実際の時間と前記予定時間との差が所定の値より大きい場合に、前記製造システムに異常があると判定する
データ分析装置。In the data analyzer according to claim 1,
The payload of the first packet contains the first control command.
The payload of the second packet received before the first packet includes a second control command, and the first control command is a command following the second control command.
The rule defines the scheduled time from the output of the second control command to the output of the first control command.
The determination device obtains the actual time from the output of the second control command to the output of the first control command, and the difference between the actual time and the scheduled time is larger than a predetermined value. A data analyzer that determines that there is an abnormality in the manufacturing system. 請求項1に記載のデータ分析装置において、
前記第1パケットのペイロードには、第1稼働実績情報が含まれ、
前記第1パケット以前に受信された第2パケットのペイロードには、第2稼働実績情報が含まれ、前記第1稼働実績情報は、前記第2稼働実績情報の次の情報であり、
前記規則には、前記第2稼働実績情報が出力されてから、前記第1稼働実績情報が出力されるまでの予定時間が規定されており、
前記判定器は、前記第2稼働実績情報が出力されてから、前記第1稼働実績情報が出力されるまでの実際の時間を求め、前記実際の時間と前記予定時間との差が所定の値より大きい場合に、前記製造システムに異常があると判定する
データ分析装置。In the data analyzer according to claim 1,
The payload of the first packet contains the first operation record information.
The payload of the second packet received before the first packet includes the second operation record information, and the first operation record information is the next information of the second operation record information.
The rule stipulates the scheduled time from the output of the second operation record information to the output of the first operation record information.
The determination device obtains the actual time from the output of the second operation record information to the output of the first operation record information, and the difference between the actual time and the scheduled time is a predetermined value. A data analyzer that determines that there is an abnormality in the manufacturing system when it is larger. 請求項1に記載のデータ分析装置において、
前記規則を、前記受信機によって受信された複数のパケットのペイロードから学習する
データ分析装置。In the data analyzer according to claim 1,
A data analyzer that learns the rules from the payloads of a plurality of packets received by the receiver. 製造装置と、前記製造装置を制御する製造制御装置と、を有する製造システムにおいて伝送されるデータを分析するデータ分析方法であって、
前記製造制御装置と前記製造装置との間で伝送されるパケットを受信することと、
受信された前記パケットのヘッダに含まれるIPアドレス及びポート番号から、受信された前記パケットのペイロードに含まれるデータの種類を求めることと、
求められた前記データの種類に基づいて、前記データの種類に対応する構文又は規則を選択することと、
前記ペイロードに含まれるデータが、前記データの種類に対応する構文又は規則に従っていない場合に、前記製造システムに異常があると判定することと
を備えるデータ分析方法。A data analysis method for analyzing data transmitted in a manufacturing system having a manufacturing apparatus and a manufacturing control apparatus for controlling the manufacturing apparatus.
Receiving a packet transmitted between the manufacturing control device and the manufacturing device, and
Obtaining the type of data contained in the payload of the received packet from the IP address and port number included in the header of the received packet, and
To select the syntax or rule corresponding to the type of data based on the type of data requested.
A data analysis method comprising determining that an abnormality is found in the manufacturing system when the data contained in the payload does not follow the syntax or rules corresponding to the type of data. 製造装置と、前記製造装置を制御する製造制御装置と、を有する製造システムにおいて伝送されるデータを分析するデータ分析方法をコンピュータに実行させるデータ分析プログラムであって、
前記データ分析方法は、
前記製造制御装置と前記製造装置との間で伝送されるパケットを受信することと、
受信された前記パケットのヘッダに含まれるIPアドレス及びポート番号から、受信された前記パケットのペイロードに含まれるデータの種類を求めることと、
求められた前記データの種類に基づいて、前記データの種類に対応する構文又は規則を選択することと、
前記ペイロードに含まれるデータが、前記データの種類に対応する構文又は規則に従っていない場合に、前記製造システムに異常があると判定することと
を備える
データ分析プログラム。A data analysis program that causes a computer to execute a data analysis method for analyzing data transmitted in a manufacturing system having a manufacturing device and a manufacturing control device that controls the manufacturing device.
The data analysis method is
Receiving a packet transmitted between the manufacturing control device and the manufacturing device, and
Obtaining the type of data contained in the payload of the received packet from the IP address and port number included in the header of the received packet, and
To select the syntax or rule corresponding to the type of data based on the type of data requested.
A data analysis program comprising determining that an abnormality is found in the manufacturing system when the data contained in the payload does not follow the syntax or rules corresponding to the type of data.
JP2019509855A 2017-03-27 2018-03-27 Data analyzers, methods, and programs Active JP7033733B2 (en)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2017061210 2017-03-27
JP2017061210 2017-03-27
PCT/JP2018/012306 WO2018181253A1 (en) 2017-03-27 2018-03-27 Data analysis device, method, and program

Publications (2)

Publication Number Publication Date
JPWO2018181253A1 JPWO2018181253A1 (en) 2020-02-06
JP7033733B2 true JP7033733B2 (en) 2022-03-11

Family

ID=63677663

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019509855A Active JP7033733B2 (en) 2017-03-27 2018-03-27 Data analyzers, methods, and programs

Country Status (5)

Country Link
US (1) US10986115B2 (en)
JP (1) JP7033733B2 (en)
CN (1) CN110463145B (en)
DE (1) DE112018001624T5 (en)
WO (1) WO2018181253A1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20220048233A (en) * 2020-10-12 2022-04-19 삼성에스디에스 주식회사 Method for detecting abnomal event and apparatus implementing the same method

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005223847A (en) 2004-02-09 2005-08-18 Intelligent Cosmos Research Institute Network abnormality detecting device and method, and network abnormality detecting program
JP2013146007A (en) 2012-01-16 2013-07-25 Fujitsu Ltd Transmitting circuit, receiving circuit, transmitting method and receiving method

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3095123B2 (en) * 1995-12-13 2000-10-03 富士ゼロックス株式会社 Image forming apparatus and method
JP4662944B2 (en) * 2003-11-12 2011-03-30 ザ トラスティーズ オブ コロンビア ユニヴァーシティ イン ザ シティ オブ ニューヨーク Apparatus, method, and medium for detecting payload anomalies using n-gram distribution of normal data
CN1662132B (en) * 2004-02-26 2010-08-18 欧姆龙株式会社 Detection method for wrong mounting and substrate detector adopting such method
JP2007188405A (en) * 2006-01-16 2007-07-26 Nec Electronics Corp Abnormality detection system and abnormality detection method
JP2009021808A (en) * 2007-07-11 2009-01-29 Nippon Telegraph & Telephone East Corp Signal monitor device, and computer program
JP5689333B2 (en) 2011-02-15 2015-03-25 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation Abnormality detection system, abnormality detection device, abnormality detection method, program, and recording medium
US9740182B2 (en) * 2012-06-08 2017-08-22 Applied Materials, Inc. Integrated controller solution for monitoring and controlling manufacturing equipment
JP5947838B2 (en) * 2014-07-04 2016-07-06 エヌ・ティ・ティ・コミュニケーションズ株式会社 Attack detection apparatus, attack detection method, and attack detection program
CN105868220B (en) * 2015-01-23 2020-03-06 中芯国际集成电路制造(上海)有限公司 Data processing method and device

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005223847A (en) 2004-02-09 2005-08-18 Intelligent Cosmos Research Institute Network abnormality detecting device and method, and network abnormality detecting program
JP2013146007A (en) 2012-01-16 2013-07-25 Fujitsu Ltd Transmitting circuit, receiving circuit, transmitting method and receiving method

Also Published As

Publication number Publication date
DE112018001624T5 (en) 2020-01-16
US10986115B2 (en) 2021-04-20
US20200021610A1 (en) 2020-01-16
CN110463145A (en) 2019-11-15
CN110463145B (en) 2021-09-24
WO2018181253A1 (en) 2018-10-04
JPWO2018181253A1 (en) 2020-02-06

Similar Documents

Publication Publication Date Title
US11843666B2 (en) Sub-networks based security method, apparatus and product
KR102414860B1 (en) Network probes and methods for processing messages
US9954903B2 (en) Industrial network security translator
US20170163531A1 (en) Infrastructure-exclusive service forwarding
CN108463980B (en) Method and system for providing network security
US20150127823A1 (en) Resolving communication collisions in a heterogeneous network
US11930036B2 (en) Detecting attacks and quarantining malware infected devices
US11546295B2 (en) Industrial control system firewall module
JP6182150B2 (en) Intrusion detection and prevention of process equipment networks
WO2019136954A1 (en) Method for detecting network compliance, apparatus, device and medium
JP7033733B2 (en) Data analyzers, methods, and programs
US20210006570A1 (en) Intrusion detection device, intrusion detection method, and computer readable medium
JP7378089B2 (en) Unauthorized communication detection device, unauthorized communication detection method, and manufacturing system
JP4161989B2 (en) Network monitoring system
US20180316700A1 (en) Data security inspection mechanism for serial networks
US20150237059A1 (en) Information processing apparatus, information processing method, and non-transitory computer readable medium
US9413720B1 (en) Processing packets in a computer system
US20230146633A1 (en) Systems and methods for secure communication between computing devices over an unsecured network
KR102594137B1 (en) Method and Apparatus for Detecting DDoS Attacks
CN113438231B (en) Industrial protocol decoding method and device, electronic equipment and storage medium
US12010210B1 (en) Determining cryptographic quantum-safety for network assets
JP7483174B2 (en) Attack detection device, attack detection method, and attack detection program
US20220394470A1 (en) Method and control unit for detecting unauthorised data traffic in a packet-oriented data network of a motor vehicle, and corresponding motor vehicle
US20240019834A1 (en) Systems and methods for automatic security enforcement for industrial automation devices
KR20180072341A (en) Methods of secure processing in vehicle considering priority of smartphone app attack

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210309

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220201

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220210

R151 Written notification of patent or utility model registration

Ref document number: 7033733

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151